Inspeccions i verificació de la seguretat
L'auditoria de seguretat aprofundirà en els detalls del sistema fins al nivell que consideri que proporciona evidència suficient i rellevant, dins de l'abast establert per a la mateixa.
El Centre *Criptológico Nacional duu a terme inspeccions de seguretat que permeten verificar la seguretat implementada en un Sistema i que els serveis i recursos utilitzats compleixen amb el mínim especificat i requerit en la política de seguretat (*máxime en tots aquells sistemes que manegen informació classificada) dins del procés d'auditoria de seguretat establert.
L'abast de l'auditoria ve determinat per l'àmbit, objectiu, activitats a realitzar, mitjans i tècniques a aplicar que, al costat de la periodicitat, es tradueixen en diferents tipus d'inspecció d'acord amb la taula que s'adjunta. Els nivells indicats vénen a donar resposta al compliment del govern de la seguretat (Nivells 1 i 2) i a l'auditoria tècnica (Nivells 3, 4 i 5).
Tipus d'Inspeccions de Seguretat
NIVELL 1 | NIVELL 2 | NIVELL 3* | NIVELL 4 | NIVELL 5 | |
ABAST | Coneixement de la governança de la seguretat del Sistema | Millora en la gestió "global" de la seguretat | Reconeixement objectiu de que el Sistema opera dins del marc de seguretat definit | Coneixement "real i complet" de la criticitat i risc del Sistema | Coneixement "real i estimat" de la criticitat i risc del Sistema |
ÀMBIT | Element (producte, servei, dispositiu, aplicació...) i sistema | Element (producte, servei, dispositiu, aplicació...) i sistema | Element (producte, servei, dispositiu, aplicació...), sistema i interconnexió | Element (producte, servei, dispositiu, aplicació ...), sistema i interconnexió | Element (producte, servei, dispositiu, aplicació...), sistema i interconnexió |
OBJECTIU | Determinar els serveis proporcionats i arquitectura del sistema | Determinar les propietats i funcions de seguretat del sistema | Determinar el nivell de seguretat d'un sistema i el seu grau de compliment amb la política de seguretat. Avaluació de la configuració del sistema i vulnerabilitats existents | Arribar a conèixer la configuració del sistema, la superfície d'exposició a vulnerabilitats i les amenaces existents | Arribar a conèixer la superfície d'exposició a vulnerabilitats i amenaces existents |
ACTIVITATS | Anàlisi | Anàlisi Verificació Manual |
Anàlisi Verificació Manual Verificació Automàtica Avaluació de la seguretat |
Anàlisi Verificació Manual Verificació Automàtica Prova de seguretat en Caixa Blanca |
Anàlisi Verificació Manual Verificació Automàtica Prova d'Intrusió a Caixa Negra |
MITJANS I TÈCNIQUES | Revisió Documentació | Revisió Documentació Gestió Configuració Qüestionaris (ST&E Plan) Entrevistas |
Revisió Documentació Gestió Configuració Qüestionaris (ST&E Plan) Entrevistes Eines Seguretat |
Eines i tècniques d'anàlisi de vulnerabilitats i d'avaluació de la seguretat del sistema | Eines d'identificació d'actius i tècniques d'avaluació iexplotació de vulnerabilitats |
PERIODICITAT | Periòdica i d'acord amb la Política de Seguretat, Procedimiento d'Acreditació i Pla d'Accions correctives | Periòdica i d'acord amb la Política de Seguretat, Procedimiento d'Acreditació i Pla d'Accions correctives | Periòdica i d'acord amb la Política de Seguretat, Procedimiento d'Acreditació i Pla d'Accions correctives | Amb caràcter excepcional depenent de la sensibilitat del Sistema o bé periòdica si així ho establís la política de seguretat | Amb caràcter excepcional depenent de la sensibilitat del Sistema o bé periòdica si així ho establís la política de seguretat |
* Recomanat per a sistemes que manegen informació classificada / ENS