Adecuación sistemas al ENS
Publicado: 12 May 2019, 13:39
Hola a todos
Me gustaría tener una idea clara de cómo se realizaría la adecuación de un sistema según el ENS y la serie 800 de las guías CCN-STIC.
¿Podéis porfa confirmar que el proceso, que os incluyo abajo, es correcto? Me surge duda de qué medidas de seguridad convendría estudiarse para el Examen 1 y luego para el posterior Examen 3.
mil gracias por toda vuestra ayuda!
Saludos
---
Según el ENS, para adecuación de los sistemas, se debe valorar/categorizar el sistema (información/servicios). Para ello, se dispone de la guía CCN-STIC 803 (actualizada Nov-17) que permite categorizar el sistema en nivel BASICO, MEDIO o ALTO. Procedimiento (ver apdo. “1.1 Necesidad de Valorar” y “2.Criterios valoración” para seleccionar medidas de seguridad, de la Guía 803):
1. Valorar activos de tipo INFORMACION en este orden: CIAT D (solo si relevante)
2. Valorar activos de tipo SERVICIO la dimensión D. Los requisitos en materia de confidencialidad, integridad, autenticidad y trazabilidad suelen venir impuestos por los tipos de información que maneja el servicio, asumiendo los establecidos en el párrafo anterior. La valoración de cada servicio, se realizaría según la tabla que aparece en el apdo.2.3.2 de la Guía 803.
3. Un sistema asumirá, para cada dimensión, el valor máximo considerado para la misma en los distintos tipos de información manejados y en los servicios prestados.
4. La categoría del sistema se determina considerando el valor máximo de todas sus dimensiones.
5. Selección de las medidas de seguridad Anexo II del ENS apropiadas que se incluirán en la Declaración de aplicabilidad de las medidas firmado por el responsable de seguridad. Esas medidas de seguridad referenciadas en el Anexo II del ENS podrán ser reemplazadas por otras compensatorias siempre y cuando se justifique documentalmente que protegen igual o mejor el riesgo sobre los activos y se satisfacen los principios básicos y los requisitos mínimos.
Me gustaría tener una idea clara de cómo se realizaría la adecuación de un sistema según el ENS y la serie 800 de las guías CCN-STIC.
¿Podéis porfa confirmar que el proceso, que os incluyo abajo, es correcto? Me surge duda de qué medidas de seguridad convendría estudiarse para el Examen 1 y luego para el posterior Examen 3.
mil gracias por toda vuestra ayuda!
Saludos
---
Según el ENS, para adecuación de los sistemas, se debe valorar/categorizar el sistema (información/servicios). Para ello, se dispone de la guía CCN-STIC 803 (actualizada Nov-17) que permite categorizar el sistema en nivel BASICO, MEDIO o ALTO. Procedimiento (ver apdo. “1.1 Necesidad de Valorar” y “2.Criterios valoración” para seleccionar medidas de seguridad, de la Guía 803):
1. Valorar activos de tipo INFORMACION en este orden: CIAT D (solo si relevante)
2. Valorar activos de tipo SERVICIO la dimensión D. Los requisitos en materia de confidencialidad, integridad, autenticidad y trazabilidad suelen venir impuestos por los tipos de información que maneja el servicio, asumiendo los establecidos en el párrafo anterior. La valoración de cada servicio, se realizaría según la tabla que aparece en el apdo.2.3.2 de la Guía 803.
3. Un sistema asumirá, para cada dimensión, el valor máximo considerado para la misma en los distintos tipos de información manejados y en los servicios prestados.
4. La categoría del sistema se determina considerando el valor máximo de todas sus dimensiones.
5. Selección de las medidas de seguridad Anexo II del ENS apropiadas que se incluirán en la Declaración de aplicabilidad de las medidas firmado por el responsable de seguridad. Esas medidas de seguridad referenciadas en el Anexo II del ENS podrán ser reemplazadas por otras compensatorias siempre y cuando se justifique documentalmente que protegen igual o mejor el riesgo sobre los activos y se satisfacen los principios básicos y los requisitos mínimos.