Inspeccions i verificació de la seguretat

L'auditoria de seguretat aprofundirà en els detalls del sistema fins al nivell que consideri que proporciona evidència suficient i rellevant, dins de l'abast establert per a la mateixa.

El Centre *Criptológico Nacional duu a terme inspeccions de seguretat que permeten verificar la seguretat implementada en un Sistema i que els serveis i recursos utilitzats compleixen amb el mínim especificat i requerit en la política de seguretat (*máxime en tots aquells sistemes que manegen informació classificada) dins del procés d'auditoria de seguretat establert.

L'abast de l'auditoria ve determinat per l'àmbit, objectiu, activitats a realitzar, mitjans i tècniques a aplicar que, al costat de la periodicitat, es tradueixen en diferents tipus d'inspecció d'acord amb la taula que s'adjunta. Els nivells indicats vénen a donar resposta al compliment del govern de la seguretat (Nivells 1 i 2) i a l'auditoria tècnica (Nivells 3, 4 i 5).

Tipus d'Inspeccions de Seguretat

NIVELL 1 NIVELL 2 NIVELL 3* NIVELL 4 NIVELL 5
ABAST Coneixement de la governança de la seguretat del Sistema Millora en la gestió "global" de la seguretat Reconeixement objectiu de que el Sistema opera dins del marc de seguretat definit Coneixement "real i complet" de la criticitat i risc del Sistema Coneixement "real i estimat" de la criticitat i risc del Sistema
ÀMBIT Element (producte, servei, dispositiu, aplicació...) i sistema Element (producte, servei, dispositiu, aplicació...) i sistema Element (producte, servei, dispositiu, aplicació...), sistema i interconnexió Element (producte, servei, dispositiu, aplicació ...), sistema i interconnexió Element (producte, servei, dispositiu, aplicació...), sistema i interconnexió
OBJECTIU Determinar els serveis proporcionats i arquitectura del sistema Determinar les propietats i funcions de seguretat del sistema Determinar el nivell de seguretat d'un sistema i el seu grau de compliment amb la política de seguretat. Avaluació de la configuració del sistema i vulnerabilitats existents Arribar a conèixer la configuració del sistema, la superfície d'exposició a vulnerabilitats i les amenaces existents Arribar a conèixer la superfície d'exposició a vulnerabilitats i amenaces existents
ACTIVITATS Anàlisi Anàlisi
Verificació Manual
Anàlisi
Verificació Manual
Verificació Automàtica
Avaluació de la seguretat
Anàlisi
Verificació Manual
Verificació Automàtica
Prova de seguretat en Caixa Blanca
Anàlisi
Verificació Manual
Verificació Automàtica
Prova d'Intrusió a Caixa Negra
MITJANS I TÈCNIQUES Revisió Documentació Revisió Documentació
Gestió Configuració
Qüestionaris (ST&E Plan)
Entrevistas
Revisió Documentació
Gestió Configuració
Qüestionaris (ST&E Plan)
Entrevistes
Eines Seguretat
Eines i tècniques d'anàlisi de vulnerabilitats i d'avaluació de la seguretat del sistema Eines d'identificació d'actius i tècniques d'avaluació iexplotació de vulnerabilitats
PERIODICITAT Periòdica i d'acord amb la Política de Seguretat, Procedimiento d'Acreditació i Pla d'Accions correctives Periòdica i d'acord amb la Política de Seguretat, Procedimiento d'Acreditació i Pla d'Accions correctives Periòdica i d'acord amb la Política de Seguretat, Procedimiento d'Acreditació i Pla d'Accions correctives Amb caràcter excepcional depenent de la sensibilitat del Sistema o bé periòdica si així ho establís la política de seguretat Amb caràcter excepcional depenent de la sensibilitat del Sistema o bé periòdica si així ho establís la política de seguretat

* Recomanat per a sistemes que manegen informació classificada / ENS