Inspecciones y verificación de la seguridad
La auditoría de seguridad profundizará en los detalles del sistema hasta el nivel que considere que proporciona evidencia suficiente y relevante, dentro del alcance establecido para la misma.
El Centro Criptológico Nacional lleva a cabo inspecciones de seguridad que permiten verificar la seguridad implementada en un Sistema y que los servicios y recursos utilizados cumplen con lo mínimo especificado y requerido en la política de seguridad (máxime en todos aquellos sistemas que manejan información clasificada) dentro del proceso de auditoría de seguridad establecido.
El alcance de la auditoría viene determinado por el ámbito, objetivo, actividades a realizar, medios y técnicas a aplicar que, junto a la periodicidad, se traducen en diferentes tipos de inspección de acuerdo con la tabla que se adjunta. Los niveles indicados vienen a dar respuesta al cumplimiento del gobierno de la seguridad (Nivel 1 y 2) y a la auditoría técnica (Nivel 3, 4 y 5).
Tipos de Inspecciones de Seguridad
NIVEL 1 | NIVEL 2 | NIVEL 3* | NIVEL 4 | NIVEL 5 | |
ALCANCE | Conocimiento de la gobernanza de la seguridad del Sistema | Mejora en la gestión “global” de la seguridad | Reconocimiento objetivo de que el Sistema opera dentro del marco de seguridad definido | Conocimiento “real y completo” de la criticidad y riesgo del Sistema | Conocimiento “real y estimado” de la criticidad y riesgo del Sistema |
ÁMBITO | Elemento (producto, servicio, dispositivo, aplicación,…) y Sistema | Elemento (producto, servicio, dispositivo, aplicación,…) y Sistema | Elemento (producto, servicio, dispositivo, aplicación,…), Sistema e Interconexión | Elemento (producto, servicio, dispositivo, aplicación,…), Sistema e Interconexión | Elemento (producto, servicio, dispositivo, aplicación,…), Sistema e Interconexión |
OBJETIVO | Determinar los servicios proporcionados y arquitectura del Sistema | Determinar las propiedades y funciones de seguridad del Sistema | Determinar el nivel de seguridad de un Sistema y su grado de cumplimiento con la política de seguridad. Evaluación de la configuración del sistema y vulnerabilidades existentes | Llegar a conocer la configuración del sistema, la superficie de exposición a vulnerabilidades y las amenazas existentes | Llegar a conocer la superficie de exposición a vulnerabilidades y amenazas existentes |
ACTIVIDADES | Análisis | Análisis Verificación Manual |
Análisis Verificación Manual Verificación Automática Evaluación de la seguridad |
Análisis Verificación Manual Verificación Automática Prueba de seguridad en Caja Blanca |
Análisis Verificación Manual Verificación Automática Prueba de Intrusión en Caja Negra |
MEDIOS Y TÉCNICAS | Revisión Documentación | Revisión Documentación Gestión Configuración Cuestionarios (ST&E Plan) Entrevistas |
Revisión Documentación Gestión Configuración Cuestionarios (ST&E Plan) Entrevistas Herramientas Seguridad |
Herramientas y técnicas de análisis de vulnerabilidades y de evaluación de la seguridad del sistema | Herramientas de identificación de activos y técnicas de evaluación y explotación de vulnerabilidades |
PERIODICIDAD | Periódica y acorde con la Política de Seguridad, Procedimiento de Acreditación y Plan de Acciones Correctivas | Periódica y acorde con la Política de Seguridad, Procedimiento de Acreditación y Plan de Acciones Correctivas | Periódica y acorde con la Política de Seguridad, Procedimiento de Acreditación y Plan de Acciones Correctivas | Con carácter excepcional dependiendo de la sensibilidad del Sistema o bien periódica si así lo estableciese la política de seguridad | Con carácter excepcional dependiendo de la sensibilidad del Sistema o bien periódica si así lo estableciese la política de seguridad |
* Recomendado para sistemas que manejan información clasificada / ENS