Inspeccións e verificación da seguridade
A auditoría de seguridade profundará nos detalles do sistema ata o nivel que considere que proporciona evidencia suficiente e relevante, dentro do alcance establecido para a mesma.
O Centro Criptolóxico Nacional leva a cabo inspeccións de seguridade que permiten verificar a seguridade implementada nun Sistema e que os servizos e recursos utilizados cumpren co mínimo especificado e requirido na política de seguridade (máxime en todos aqueles sistemas que manexan información clasificada) dentro do proceso de auditoría de seguridade establecido.
O alcance da auditoría vén determinado polo ámbito, obxectivo, actividades a realizar, medios e técnicas a aplicar que, xunto á periodicidade, tradúcense en diferentes tipos de inspección de acordo coa táboa que se adxunta. Os niveis indicados veñen dar resposta ao cumprimento do goberno da seguridade (niveis 1 e 2) e á auditoría técnica (niveis 3, 4 e 5).
Tipos de inspeccións de seguridade
NIVEL 1 | NIVEL 2 | NIVEL 3* | NIVEL 4 | NIVEL 5 | |
REACH | Coñecemento da gobernanza da seguridade do Sistema | Mellora na xestión "global" da seguridade | Recoñecemento obxectivo que o Sistema opera dentro do marco de seguridade definido | Coñecemento "real e completo " de A criticidade e risco do Sistema | Coñecemento "real e estimado" de A criticidade e risco do Sistema |
APLICACIÓN | Elemento (produto, servizo, dispositivo, aplicación...) e Sistema | Elemento (produto, servizo, dispositivo, aplicación...) e Sistema | Elemento (produto, servizo, dispositivo, aplicación ...), sistema e interconexión | Elemento (produto, servizo, dispositivo, aplicación...), sistema e interconexión | Elemento (produto, servizo, dispositivo, aplicación...), sistema e interconexión |
OBXECTIVO | Determine os servizos prestados e a arquitectura do sistema | Determining as propiedades e características de seguridade do sistema | Determine o nivel de seguridade dun sistema e o seu grao de cumprimento coa política de seguridade. Avaliación da configuración do sistema e vulnerabilidades existentes | Coñece a configuración do sistema, a superficie de exposición a vulnerabilidades eameazas existentes | Coñeza a exposición superficial ás vulnerabilidades e ameazas existentes |
ACTIVIDADES | Análise | Análise Verificación Manual |
Análise Verificación Manual Verificación Automática Avaliación de seguridade |
Análise Verificación Manual Verificación Automática Proba de seguridade en White Box |
Análise Verificación Manual Verificación Automática Proba de Black Box Intrusion |
MEDIOS E TÉCNICO | Revisar a documentación | Revisar a documentación Xestión de configuración Cuestionarios (ST&E Plan) Entrevistas |
Revisar a documentación Xestión de configuración Cuestionarios (ST&E Plan) Entrevistas Ferramentas de seguridade |
Ferramentas e técnicas deanálise de vulnerabilidades e avaliación da seguridade dosistema | Ferramentas de identificación de activos e técnicas deavaliación e explotación de vulnerabilidades |
FRECUENCIA | Periódico e conforme á Política de Seguridade,Procedemento de Acreditación e Plan de Acción Correctiva | Periódico e conforme á Política de Seguridade, Procedemento de Acreditación e Plan de Acción Correctiva | Periódico e conforme á Política de Seguridade, Procedemento de Acreditación e Plan de Acción Correctiva | Excepcionalmente en función da sensibilidade do Sistema ou periódicamente se a política de seguridade establece | Excepcionalmente en función da sensibilidade do Sistema ou periódicamente se a política de seguridade establece |
* Recomendado para sistemas que manexan información clasificada / ENS