Resumen STIC UD 9 PDF

Summary

This document summarizes the STIC UD 9, covering topics like system accreditation, security areas (personnel, physical, and information), relevant processes and situations related to accreditation, inspections, and reaccreditation for information systems.

Full Transcript

RESUMEN STIC UD 9 SA ARAMYS GÁZQUEZ LÓPEZ Contenido 1. INTRODUCCIÓN..................................................................................................................... 2 1.1 2. Acreditación de sistemas............................................................................................... 2 ÁREAS DE SEGURIDAD........................................................................................................... 3 2.1 Seguridad del personal.................................................................................................. 3 2.2 Seguridad sica.............................................................................................................. 3 2.3 Seguridad documental.................................................................................................. 3 2.4 Seguridad de emanaciones........................................................................................... 3 2.5 Seguridad criptológica................................................................................................... 3 2.6 Seguridad de las TIC (STIC)............................................................................................ 3 3. PROCESO DE ACREDITACIÓN................................................................................................. 4 4. INTERCONEXIÓN DE SISTEMAS............................................................................................. 5 5. SITUACIONES DE LA ACREDITACIÓN...................................................................................... 6 6. 5.1 Situaciones posibles...................................................................................................... 6 5.2 Validez de la acreditación.............................................................................................. 6 INSPECCIONES....................................................................................................................... 7 6.1 7. INSPECCIÓN A LOS SISTEMAS ACREDITADOS................................................................ 7 REACREDITACIÓN.................................................................................................................. 8 1. INTRODUCCIÓN 1.1 Acreditación de sistemas CAPACIDAD DE UN SISTEMA PARA MANEJAR INFORMACIÓN CLASIFICADA HASTA UN GRADO DETERMINADO O EN UNAS DETERMINADAS CONDICIONES La información clasificada debe protegerse contra la pérdida de confidencialidad, integridad y disponibilidad sea accidental o intencionada, y debe impedirse la pérdida de integridad y disponibilidad de los propios sistemas. Se deberán aplicar un conjunto equilibrado de medidas de seguridad que permitan la creación de un entorno seguro para el Sistema. Se en ende por Acreditación la cer ficación otorgada a un Sistema de las TIC por la Autoridad responsable de la Acreditación de la capacidad para manejar información clasificada hasta un grado determinado o en unas determinadas condiciones de integridad o disponibilidad, con arreglo a su Concepto de Operación (CO). o o Condiciones: someter a todos los Sistemas de su ámbito de competencia a un proceso de acreditación que garan ce el adecuado nivel de protección y su mantenimiento. Dicho proceso revisará al menos los aspectos detallados en la guía CCN STIC 400. Documentación de seguridad: todo sistema que maneje información clasificada debe mantener actualizada la documentación de seguridad con carácter dinámico, debe comprender lo siguiente:  Concepto de operación (CO): Declaración expresa sobre el objeto o función de un Sistema o de una interconexión de Sistemas, el po de información que va a ser manejada, las condiciones de explotación y las amenazas a las que estará some do. Documento de alto nivel, en el que no se debe explicar con exceso de detalle el Sistema.  Análisis de riesgo (AR): Proceso consistente en iden ficar amenazas y vulnerabilidades determinando su magnitud y las áreas que necesitan salvaguardas y contramedidas, plasmando todo ello en el correspondiente documento de análisis.  Declaración de requisitos de seguridad (DRS): Documento base para la acreditación, exposición completa y detallada de los principios de seguridad y de los requisitos de seguridad. Cons tuye el resultado del análisis de riesgos realizado.  Procedimientos opera vos de seguridad (POS): Descripción precisa de la aplicación de los requisitos de seguridad detallando las responsabilidades y todas las acciones y procedimientos de seguridad a seguir, con el obje vo de garan zar y mantener la seguridad del Sistema. Los POS son la aplicación prác ca de los DRS sobre el Sistema, por lo que cons tuyen el manual de seguridad que todo usuario está obligado no sólo a leer sino a comprender y a aplicar. 2. ÁREAS DE SEGURIDAD 2.1 Seguridad del personal Todas las personas que tengan acceso a los Sistemas donde se maneje información clasificada deberán poseer la correspondiente autorización por la Autoridad responsable del Sistema, de acuerdo con las normas establecidas por el propietario de la información clasificada, que ponderará la necesidad de conocer y la posesión de algún po de autorización para acceder a este po de información. La relación de personas autorizadas a acceder al Sistema y a la información en él contenida deberá figurar como anexo adjunto a la documentación de seguridad (POS) detallando no sólo su iden ficación única sino también los derechos y permisos de las mismas. 2.2 Seguridad sica Aquellas áreas dónde se pueda acceder a información clasificada a través de un Sistema deberán estar cer ficadas de acuerdo al nivel de clasificación de la información manejada y a los requisitos de integridad y disponibilidad requeridos. 2.3 Seguridad documental Los documentos que con enen información clasificada, así como sus soportes informá cos serán protegidos de acuerdo con las Leyes y Normas en vigor, en los casos no contemplados por dicha norma va, será de aplicación la norma va interna de cada Organismo. 2.4 Seguridad de emanaciones Para la protección de la información clasificada contra los fenómenos basados en radiaciones electromagné cas no deseadas, se aplicará la norma va establecida por la Autoridad correspondiente. En la documentación de seguridad del Sistema deberán figurar los cer ficados de las áreas donde se ubiquen los elementos del Sistema y, en su caso, de los cer ficados de Seguridad de Emanaciones (TEMPEST) de estos úl mos. 2.5 Seguridad criptológica En aquellos Sistemas que manejen información clasificada y empleen medios o procedimientos de cifra será de obligado cumplimiento la norma va vigente y el empleo de productos con cer ficación criptológica, incluidos en el per nente catálogo actualizado y publicado por la Autoridad correspondiente. 2.6 Seguridad de las TIC (STIC) Todos los Sistemas que manejen información clasificada deberán disponer de un conjunto equilibrado de servicios de seguridad que permitan alcanzar los obje vos de seguridad requeridos: 1) 2) 3) 4) 5) 6) 7) 8) Iden ficar y auten car a las personas con acceso autorizado. Controlar los accesos a la información a par r del principio de necesidad de conocer Verificar la integridad y el origen de la información y de los elementos del Sistema Mantener la integridad de la información clasificada y de los elementos del Sistema Mantener la disponibilidad requerida para la Información y los elementos del Sistema Garan zar y verificar el funcionamiento de los mecanismos de seguridad del Sistema Registrar y auditar la ac vidad de los usuarios del Sistema Controlar las conexiones y los enlaces de los Sistemas 9) Prevenir, detectar y corregir los impactos o incidentes que afecten a la confidencialidad, integridad y disponibilidad de la información o la integridad y disponibilidad del Sistema que la soporta 3. PROCESO DE ACREDITACIÓN En la figura anterior se representa gráficamente el proceso de acreditación, que consta de las siguientes tareas: 1) Envío de la solicitud de acreditación y del Concepto de Operación (CO): La Autoridad Opera va del Sistema remi rá a la Autoridad competente en la acreditación el Concepto de Operación del Sistema como documento adjunto a la solicitud de acreditación. 2) Validación del Concepto de Operación e inicio del proceso de acreditación: La Autoridad responsable de la acreditación, una vez validado el CO, comunicará a la Autoridad Opera va del Sistema el inicio del proceso de acreditación. 3) Entrega de la documentación de seguridad: La Autoridad Opera va del Sistema elaborará la documentación de seguridad del Sistema y la remi rá a la Autoridad Responsable de la acreditación. 4) Revisión y validación de la documentación de seguridad: previa a la inspección de seguridad es necesario validar la documentación de seguridad por parte de la Autoridad responsable de la acreditación correspondiente. 5) Implementación de requisitos: La Autoridad Opera va del Sistema, con anterioridad a la inspección de seguridad precep va debe implementar todos los requisitos indicados en la documentación de seguridad del Sistema. 6) Verificación del cumplimiento de los requisitos de seguridad sica, documental, de emanaciones y de personal: La Autoridad responsable de la acreditación verificará que se cumplen los requisitos de seguridad sica, documental, de emanaciones y de 7) 8) 8.1 8.2 8.3 8.4 8.5 9) 10) personal. Previamente, la Autoridad Opera va del Sistema remi rá los cer ficados relacionados con la seguridad sica y de emanaciones. Verificación del cumplimiento de los requisitos de seguridad criptológica: La Autoridad responsable de la acreditación verificará que se cumplen los requisitos de seguridad criptológica, basados en el empleo de productos con cer ficación criptológica incluidos en el per nente catálogo actualizado y publicado por la Autoridad correspondiente. Verificación del cumplimiento de los requisitos STIC: La verificación de requisitos de Seguridad de las Tecnologías de la Información y Comunicaciones (STIC) se realizará mediante la correspondiente inspección STIC por la Autoridad responsable de la acreditación o por quién ésta haya establecido. En concreto se verificará la exac tud de los siguientes aspectos tal y como son descritos en la documentación de seguridad (CCN STIC 301 Requisitos STIC): La implementación de los requisitos STIC Los procedimientos de seguridad del Sistema La arquitectura del Sistema con las interconexiones del mismo La estructura de seguridad (responsables de seguridad) que soporta el Sistema Las configuraciones de los elementos del Sistema, verificando que se implementa lo prescrito por los planes de evaluación y chequeo de la seguridad y guías STIC correspondientes. La Autoridad responsable de la acreditación remi rá a la Autoridad Opera va del Sistema el resultado de la inspección STIC acompañado del precep vo informe donde se reflejen las deficiencias detectadas. Comunicación de la acreditación la Autoridad responsable de la acreditación emi rá la declaración de cumplimiento (acreditación) una vez se hayan cumplimentado los puntos citados previamente y el resultado sea posi vo  RESUMEN: 1. AO manda CO a AA 2. AA valida CO e inicia proceso de acreditación 3. AO elabora documentación seguridad y remite a AA 4. AA revisa y valida la documentación seguridad 5. AO implementa los requisitos de la documentación 6. AA inspecciona y verifica los requisitos de todo po 7. AA remite informe del resultado de la inspección a AO 8. Si es posi vo AA comunica la acreditación a AO En el ENS y en sistemas que manejan información clasificada únicamente del grado de Difusión Limitada, las inspecciones STIC se delegan a organizaciones que suelen pertenecer al sector privado denominadas En dades de Cer ficación (EC). Dichas EC para poder realizar evaluaciones STIC requieren superar un proceso de autorización previa, denominado acreditación, en el que deben evidenciar su compromiso y competencia técnica, que les permita demostrar que pueden desempeñar su labor inspectora en el ámbito STIC. 4. INTERCONEXIÓN DE SISTEMAS La interconexión entre Sistemas ene lugar cuando existe una conexión y se habilitan flujos de información entre tales Sistemas con diferentes polí cas de seguridad, diferentes niveles de confianza, diferentes Autoridades Opera vas o una combinación de las anteriores. La responsabilidad de la acreditación para la interconexión de un Sistema acreditado a otro u otros Sistemas, será de una única Autoridad cuando los Sistemas recaigan dentro de su ámbito de actuación o, en caso contrario, corresponderá a un Comité de Acreditación formado por todas las Autoridades afectadas por dicha interconexión. 5. SITUACIONES DE LA ACREDITACIÓN 5.1 Situaciones posibles     Autorización para pruebas (AP): u lizada como paso previo a manejar información clasificada con objeto de realizar las per nentes pruebas técnicas (funcionales y de seguridad), de comunicaciones e intercambio de información sin clasificar. Es necesario tener redactada la documentación de seguridad. Autorización temporal con propósito operacionales (ATPO): apropiada para situaciones en las que no hay acreditación del sistema. La Autoridad responsable de la acreditación puede otorgar esta situación en circunstancias excepcionales y su validez será limitada, la solicitud de esta ATPO debe ser realizada por la Autoridad Opera va del Sistema basándose en el concepto de operación, siendo importante indicar que esta situación se limitará a causas muy jus ficadas. Autorización provisional para operar (APO): Esta situación es u lizada para Sistemas o interconexiones en proceso de acreditación que no hayan superado completamente éste (pendiente de la resolución de deficiencias) o como paso previo para la concesión de la acreditación defini va. Acreditación (A): Situación alcanzada por los Sistemas e interconexiones que hayan superado con éxito el proceso de acreditación. La validez de la misma estará fijada en la comunicación de acreditación. 5.2 Validez de la acreditación Si un Sistema o una interconexión no superan el proceso de acreditación, pero por necesidades opera vas es necesario que manejen información clasificada, la Autoridad responsable de la acreditación podrá conceder la APO correspondiente con un período máximo de la validez de las acreditaciones de todos los sistemas de treinta y seis (36) meses independientemente del grado de clasificación de la información que manejen y de doce (12) meses para los sistemas tác cos/desplegables cuando se determinen circunstancias de seguridad. 6. INSPECCIONES 6.1 INSPECCIÓN A LOS SISTEMAS ACREDITADOS. Deberán realizarse inspecciones de los Sistemas y de las interconexiones acreditadas para verificar el mantenimiento de las condiciones de acreditación; el período máximo entre inspecciones para los diferentes Sistemas acreditados vendrá determinado por el mayor grado de clasificación de la información manejada y la Autoridad responsable de la acreditación establecerá el calendario de inspecciones, siempre dentro de los plazos máximos establecidos. El período máximo entre evaluaciones para los diferentes sistemas acreditados es de dieciocho 18 meses, independientemente del grado de clasificación de la información que manejen. La con nuidad de la acreditación otorgada dependerá del resultado de las inspecciones y podrá requerir de la Autoridad Opera va del Sistema la adopción de una serie de medidas correc vas, así como un plazo para implantarlas. 6.2 INFORME ANUAL. Una vez concedida la acreditación, la Autoridad Opera va del Sistema deberá remi r un informe anual a la Autoridad responsable de la acreditación dónde se expresen las vicisitudes ocurridas en el mismo. Este informe debe recoger los siguientes aspectos: - Altas y bajas del personal responsable de la seguridad del Sistema Modificaciones del hardware, del so ware o de ubicación previstas durante el año que puedan tener impacto en la seguridad del Sistema Estado de cumplimiento de los DRS y POS Incidentes que hayan afectado o comprome do la seguridad del Sistema Cualquier otro cambio que sufra el Sistema (de emplazamiento, de configuración hardware/so ware no previsto en el informe remi do será comunicado por la Autoridad Opera va del Sistema a la Autoridad responsable de la acreditación para reiniciar, en su caso, el proceso de acreditación.  RESUMEN Validez acreditación: o 36 meses sistemas normales o 12 meses sistemas tác cos o (ATPO / ATO) Inspecciones a los sistemas: o o Dependerá del grado de clasificación de la información Periodo máximo de 18 meses 7. REACREDITACIÓN