Adecuación sistemas al ENS

Temas relacionados con el examen de test
Responder
Avatar de Usuario
asile
Usuario registrado
Mensajes: 76
Registrado: 01 Feb 2018, 22:36
Agradecido: 0
Agradecimiento recibido: 0

Adecuación sistemas al ENS

Mensaje por asile »

Hola a todos
Me gustaría tener una idea clara de cómo se realizaría la adecuación de un sistema según el ENS y la serie 800 de las guías CCN-STIC.
¿Podéis porfa confirmar que el proceso, que os incluyo abajo, es correcto? Me surge duda de qué medidas de seguridad convendría estudiarse para el Examen 1 y luego para el posterior Examen 3.

mil gracias por toda vuestra ayuda!

Saludos
---

Según el ENS, para adecuación de los sistemas, se debe valorar/categorizar el sistema (información/servicios). Para ello, se dispone de la guía CCN-STIC 803 (actualizada Nov-17) que permite categorizar el sistema en nivel BASICO, MEDIO o ALTO. Procedimiento (ver apdo. “1.1 Necesidad de Valorar” y “2.Criterios valoración” para seleccionar medidas de seguridad, de la Guía 803):
1. Valorar activos de tipo INFORMACION en este orden: CIAT D (solo si relevante)
2. Valorar activos de tipo SERVICIO la dimensión D. Los requisitos en materia de confidencialidad, integridad, autenticidad y trazabilidad suelen venir impuestos por los tipos de información que maneja el servicio, asumiendo los establecidos en el párrafo anterior. La valoración de cada servicio, se realizaría según la tabla que aparece en el apdo.2.3.2 de la Guía 803.
3. Un sistema asumirá, para cada dimensión, el valor máximo considerado para la misma en los distintos tipos de información manejados y en los servicios prestados.
4. La categoría del sistema se determina considerando el valor máximo de todas sus dimensiones.
5. Selección de las medidas de seguridad Anexo II del ENS apropiadas que se incluirán en la Declaración de aplicabilidad de las medidas firmado por el responsable de seguridad. Esas medidas de seguridad referenciadas en el Anexo II del ENS podrán ser reemplazadas por otras compensatorias siempre y cuando se justifique documentalmente que protegen igual o mejor el riesgo sobre los activos y se satisfacen los principios básicos y los requisitos mínimos.

Opositor6923
PreparaTIC26
Mensajes: 15
Registrado: 08 Sep 2018, 09:05
Agradecido: 0
Agradecimiento recibido: 0

Re: Adecuación sistemas al ENS

Mensaje por Opositor6923 »

Hola, Asile,

Sí, en rasgos generales es lo que tienes que hacer en un proyecto. Sólo un detalle, la categorización del sistema como el superior de todos los niveles identificados no significa que se apliquen todas las medidas de seguridad superiores. Por ejemplo, imaginemos que la D es alta y el resto son medias, a la hora de la verdad solo se aplicarían los niveles altos en aquellas medidas en las que la guía pone "Para D alta" o "nivel alto en cualquier dimensión", en el resto se aplicarían las medidas de nivel medio. No sé si me explico.

Respecto a las medidas para aprenderse, te recomiendo que las leas y comprendas todas las que hay. El día del tercer examen, lee el enunciado, haz referencia a los documentos que contienen las normas (anexo bla, bla, bla, guía CCN STIC ...), lista algunos ejemplos que te parezcan relevantes para el caso y, si puedes, como se llevarían a cabo. Si te has leído y comprendido todo no te resultará complicado. Verás que hay muchas que te acabas aprendiendo: formas de autenticación, cifrado de información, son las que ahora mismo se me ocurren que dan mucho juego y que son imprescindibles.

Me temo que con el tipo test no soy de ayuda, nunca me organicé ni medio decentemente.

¡Suerte!

Avatar de Usuario
asile
Usuario registrado
Mensajes: 76
Registrado: 01 Feb 2018, 22:36
Agradecido: 0
Agradecimiento recibido: 0

Re: Adecuación sistemas al ENS

Mensaje por asile »

Perfecto.
mil gracias!!

Avatar de Usuario
VicCV
PreparaTIC26
Mensajes: 51
Registrado: 21 May 2018, 15:14
Agradecido: 0
Agradecimiento recibido: 0

Re: Adecuación sistemas al ENS

Mensaje por VicCV »

Una cosa que a mi me fue útil y que no comentáis es que si vuestro sistema es divisible en subsistemas, se pueden aplicar medidas diferentes a cada subsistema. En este caso cada subsistema tendría su propio nivel y el nivel del sistema total sería el mayor del de sus subsistemas.

Avatar de Usuario
palindromo
Usuario registrado
Mensajes: 555
Registrado: 21 Abr 2018, 15:05
Ubicación: Madrid
Agradecido: 7 veces
Agradecimiento recibido: 9 veces

Re: Adecuación sistemas al ENS

Mensaje por palindromo »

Hola:

Me quedó una duda sobre el tema que se plantea en este hilo, sobre la que quisiera volver. Es la siguiente:

Hoy por hoy, ¿tiene sentido hablar de adecuación al ENS?

La guía "CCN-STIC-806 Plan de Adecuación al ENS" plantea cómo se han de tratar los sistemas existentes en la Administración en el momento de la implantación del ENS, es decir, allá por 2010 (el RD 3/2010, de hecho, recoge plazos en su Disposición Transitoria que, "en ningún caso, serán superiores a 48 meses desde la entrada en vigor". Es decir, a día de hoy, no debería quedar ni un solo sistema pendiente de adaptación al ENS, y la guía 806 carece de sentido. ¿Digo bien?

No obstante, todo lo dicho más arriba sigue siendo de aplicación en el diseño de sistemas nuevos, por supuesto, pero porque se siguen el resto de guías, por ejemplo, la "CCN-STIC-803 Valoración de Sistemas en el ENS".

Gracias.
Desde la barrera.

Responder

Volver a “PRIMER EXAMEN 2018”