CCN-STIC 808. Verificación del cumplimiento del Esquema Nacional de Seguridad
La Guía CCN-STIC 808 viene a complementar a la guía “CCN-STIC-802 Esquema Nacional de Seguridad – Guía de auditoría” y tiene como objeto “el servir tanto de itinerario, como de registro, a aquella persona designada como auditor de los requisitos del Esquema Nacional de Seguridad para un sistema”.
Los sistemas de información de categoría Alta o Media, incluidos aquellos de empresas del sector privado que presten servicios a las entidades públicas, están obligados a la realización de una auditoría regular, al menos cada dos años y una de carácter extraordinario siempre que se produzcan modificaciones sustanciales en el sistema de información.
El CCN-CERT ha publicado en su portal web la Guía CCN-STIC 808 de verificación del Esquema Nacional de Seguridad (ENS) cuyo objetivo es servir tanto de itinerario, como de registro, a aquella persona designada como auditor de los requisitos del ENS. De este modo, se podrá encauzar de una forma homogénea la realización de las auditorías, ordinarias o extraordinarias, estableciendo unas premisas mínimas en su ejecución, tal y como marca el artículo 34 del Real Decreto 3/2010 de 8 de enero, por el que se regula el ENS.
Guía práctica de la Ley 11/2007, de Acceso Electrónico de los Ciudadanos a los Servicios Públicos
La administración electrónica y el servicio a los ciudadanos
Estudios sobre la situación de la Administración Electrónica
El OBSAE realiza estudios temáticos en profundidad sobre aspectos concretos de la Administración Electrónica. El objeto de los estudios es identificar buenas prácticas o evaluar el estado del arte en materias determinadas para facilitar el desarrollo y renovación de las estrategias y políticas de Administración Electrónica de la Administración General del Estado.
CCN-STIC 809. Declaración de conformidad del Esquema Nacional de Seguridad
Tendencias TIC: Cloud y el Esquema Nacional de Seguridad
La evolución en los últimos años hacia un modelo de prestación de servicios en cloud ha sido vertiginoso. Son varios los ámbitos universitarios que han estado implicados en este nuevo enfoque, unidos a otros factores sociales que han demandado este avance, tales como la reducción de inversión, la mejora de prestaciones en movilidad geográfica, el incremento en ancho de banda, las necesidades de computación en investigación o el uso intensivo de vídeo y audio en los últimos años.
CCN-STIC 824 Informe del Estado de Seguridad
Actualización. El Esquema Nacional de Seguridad (ENS) exige evaluar regularmente el estado de seguridad de los sistemas de información. Este documento describe una serie de medidas e indicadores con dos destinatarios: el propio organismo propietario del sistema de información y el informe anual del estado de seguridad de la Administración Pública española.
CCN-STIC 827 Gestión y uso de dispositivos móviles
El objetivo de esta Guía es ayudar a los organismos en la gestión segura de los dispositivos móviles desplegados en la organización o que puedan ser usados para acceder a recursos, informaciones o servicios de la organización. Incluye, por tanto, a los dispositivos móviles propiedad de la organización, como aquellos otros, propiedad de los usuarios (comportamiento conocido como BYOD), y en ambos casos para el desempeño total o parcial de las labores de los usuarios en relación con sus competencias profesionales en el seno del organismo de que se trate.
CCN-STIC 823 Seguridad en entornos Cloud
Esta guía recoge los aspectos de seguridad necesarios que deberán contemplarse para la adopción del cloud computing como paradigma tecnológico para la disposición de servicios con las garantías de seguridad pertinentes. Se han identificado las medidas de seguridad y los requisitos que deben cumplir los proveedores de servicios para dar cumplimiento tanto a los marcos legislativos aplicables, en especial el ENS o la normativa vigente en materia de protección de datos personales, como a los códigos de buenas prácticas o estándares reconocidos internacionalmente.
Seguimiento de la adecuación a los esquemas nacionales de seguridad (ENS) y de interoperabilidad (ENI)
Durante el año 2013 y el primer trimestre de 2014 se ha realizado un seguimiento del progreso de la adecuación a los esquemas nacionales de seguridad (ENS) e interoperabilidad (ENI) , según lo acordado por la Comisión Permanente del Consejo Superior de Administración Electrónica en octubre de 2012, y extendido progresivamente a las demás Administraciones Públicas, especialmente a las Comunidades Autónomas, a través del Comité Sectorial de Administración Electrónica, con participación de carácter voluntario. Dicho seguimiento se ha ejecutado mediante sucesivas oleadas de cuestionarios en febrero, mayo, septiembre y diciembre de 2013 y marzo de 2014, para conocer el estado de situación del progreso de la adecuación, identificar aspectos de mayor dificultad, así como para recabar propuestas y sugerencias.
Guía CCN-STIC 850A Implementación del ENS en Windows 7
La Guía se ha elaborado para facilitar la implementación del Esquema Nacional de Seguridad en clientes con sistema operativo Windows 7, en cualquiera de sus versiones, en un entorno de dominio y atendiendo a los niveles de seguridad que se establecen en el propio Esquema.
Normas Técnicas de Interoperabilidad. Relación de modelos de datos
Resolución de 28 de junio de 2012 (BOE de 26 de julio), de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Norma Técnica de Interoperabilidad de Relación de modelos de datos.
La Norma Técnica de Interoperabilidad de Relación de modelos de datos tiene por objeto definir las condiciones para establecer y publicar modelos de datos que tengan el carácter de comunes en la Administración y aquellos que se refieran a materias sujetas a intercambio de información con los ciudadanos y otras administraciones, así como las definiciones y codificaciones asociadas, de cara a su publicación en el Centro de Interoperabilidad Semántica.
Normas Técnicas de Interoperabilidad. Política de gestión de documentos electrónicos
Resolución de 28 de junio de 2012 (BOE de 26 de julio), de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Norma Técnica de Interoperabilidad de Política de gestión de documentos electrónicos.
La Norma Técnica de Interoperabilidad de Política de gestión de documentos electrónicos tiene por objeto establecer las directrices para la definición de políticas de gestión de documentos electrónicos.
Normas Técnicas de Interoperabilidad. Declaración de conformidad con el Esquema Nacional de Interoperabilidad
Se están elaborando con la participación de todas las Administraciones públicas, Administración General del Estado, Comunidades Autónomas, Corporaciones Locales a través de la FEMP y Universidades Públicas a través de la CRUE.
Manual de usuario de esquemas XML para intercambio de documentos electrónicos y expedientes electrónicos
Las Normas Técnicas de Interoperabilidad de Documento electrónico y Expediente
electrónico del Esquema Nacional de Interoperabilidad (en adelante, ENI) definen esquemas XML (en adelante, XSD) como herramienta para la interoperabilidad en el intercambio de documentos y expedientes electrónicos.
Como documentación de apoyo a la aplicación de dichos esquemas, este manual recoge:
– Descripción técnica del diseño de los XSDs, implementación completa y consideraciones
para su integración en otras estructuras XML y para la extensión del modelo.
– Pautas para la generación de XMLs de documentos electrónicos y expedientes
electrónicos atendiendo a los XSDs del ENI.
DISPONIBLE TAMBIÉN EN EPUB
Guía de aplicación de la Norma Técnica de Interoperabilidad de Relación de modelos de datos
Este documento constituye una guía de aplicación de la Norma Técnica de Interoperabilidad de Relación de modelos de datos (en adelante NTI), y como tal, su objetivo es servir como herramienta de apoyo para la aplicación e implementación de lo dispuesto en la NTI.
Para ello, su contenido incluye tanto citas explícitas al texto de la NTI como explicaciones y contenidos complementarios a aquélla.
DISPONIBLE TAMBIÉN EN EPUB
Guía de adecuación al ENI
Este documento constituye una guía de adecuación al Esquema Nacional de Interoperabilidad, y como tal, su objetivo es servir como herramienta de apoyo para la
aplicación e implementación de lo dispuesto en el Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la Administración Electrónica (en adelante, R.D. 4/2010 ENI).
Su contenido incluye tanto citas explícitas al texto del R.D. 4/2010 ENI como explicaciones y contenidos complementarios.
DISPONIBLE TAMBIÉN EN EPUB
CCN-STIC 817 Gestión de Ciberincidentes
Con esta guía, el CERT Gubernamental Nacional pretende ayudar a las entidades públicas del ámbito de aplicación del ENS al establecimiento de las capacidades de respuesta a ciberincidentes y su adecuado tratamiento, eficaz y eficiente.
Guía de publicación y licenciamiento de activos
La “Guía de publicación y licenciamiento de activos” proporciona orientación para la publicación y licenciamiento de activos reutilizables, sean aplicaciones, modelos de datos, documentación o información reutilizable, de acuerdo con lo previsto en la normativa correspondiente, la Ley 11/2007 y Ley 37/2007 con sus desarrollos respectivos.
Desde el punto de vista de esta guía, se entiende como ‘activo reutilizable’ cualquier tipo de material en formato electrónico que pueda ser empleado de forma recurrente.
Guía del CCN: Criptología de empleo en el ENS
En la presente guía del Centro Criptológico Nacional se actualizan los algoritmos criptográficos acreditados para el uso únicamente en el Esquema Nacional de Seguridad, ENS, cuando sus características y requerimientos se consideren necesarios.
La principal actualización de la guía es la eliminación de las funciones resumen SHA-1y RIPMED-160 a partir de enero de 2017. Las funciones resumen son utilizadas en los procesos de firma electrónica, derivación de claves, integridad de documentos, etc. Su seguridad se ha visto mermada con la aparición de nuevos algoritmos para su criptoanálisis y el incremento de la capacidad computacional. El CCN, en concordancia con las políticas aplicadas por empresas internacionales como Google, Mozilla, Microsoft, etc. y otros países, ha determinado que el algoritmo sha-1 no se encontrará acreditado a partir de enero del 2017.
Guía CCN-STIC 870B Implementación del ENS en Windows Server 2012 R2 Servidor Independiente
Tiene como propósito proporcionar plantillas de seguridad para la aplicación de medidas que garanticen dicha seguridad, en un escenario de implementación del Esquema Nacional de Seguridad y en servidores que tengan instalado Windows Server 2012 R2 y a través de una configuración de seguridad sólida.
Se incluyen, además, operaciones básicas de administración para la aplicación de las mismas, así como una serie de recomendaciones para su uso.
Guía CCN-STIC 870A Implementación del ENS en Windows Server 2012 R2
Tiene como propósito proporcionar plantillas de seguridad para la aplicación de medidas que garanticen dicha seguridad, en un escenario de implementación del Esquema Nacional de Seguridad y en servidores que tengan instalado Windows Server 2012 R2 bajo un entorno de dominio, en cualquiera de sus versiones.
Guía CCN-STIC 860 Seguridad del Servicio OWA en Microsoft Exchange Server 2010
Ofrece la información y mecanismos para la protección del servicio de Outlook Web App (OWA), proporcionado por el servicio de Microsoft Exchange Server y que permite el acceso a los buzones de correo electrónico a través de un servicio web.
No obstante estas garantías de acceso, así como la publicación del mismo, constituyen el hecho de que sea un servicio altamente expuesto que puede ser atacado con el objeto no solo de conseguir acceso a la información existente en dicho servicio, sino como un intento de obtener credenciales con las cuales acceder a la organización.
Guía de Seguridad CCN-STIC-425. Ciclo de Inteligencia y Análisis de Intrusiones
El presente documento tiene por objeto ofrecer una explicación, simple y concisa, de lo que en ciberseguridad constituye la llamada Ciberinteligencia y el Ciclo de Inteligencia, desarrollando una de sus fases más significativas: el Análisis. Con este propósito se desarrolla un Modelo para el Análisis Formal de Intrusiones.
Con esta publicación, el CCN espera que las Administraciones Públicas españolas, así
como las empresas de nuestro país –especialmente aquellas que gestionan intereses estratégicos- y también sus profesionales y ciudadanos se encuentren en mejores condiciones para hacer frente a los riesgos que comporta operar en el ciberespacio.
Nueva Guía CCN-STIC de conformidad con el ENS
El Centro Criptológico Nacional (CCN) ha hecho pública su Guía CCN-STIC 809 sobre Declaración y Certificación de Conformidad con el ENS y distintivos de cumplimiento. La Guía articula el correspondiente Esquema de Declaración y Certificación de Conformidad con el ENS, determinando las condiciones para alcanzar aquel cumplimiento normativo, teniendo en cuenta que el artículo 41 del ENS señala: «Publicación de conformidad. Los órganos y Entidades de Derecho Público darán publicidad en las correspondientes sedes electrónicas a las declaraciones de conformidad, y a los distintivos de seguridad de los que sean acreedores, obtenidos respecto al cumplimiento del Esquema Nacional de Seguridad».
Así pues, el documento señala cuál debe ser el aspecto y el contenido de las declaraciones de conformidad y distintivos de seguridad mencionados en el citado artículo 41, quién puede solicitarlos, quién puede concederlos y cómo deben hacerse visibles en los espacios públicos tecnológicos de los organismos afectados o en los privados de los operadores económicos concernidos.
Guía para la prestación de aplicaciones en modo servicio
La Guía para la prestación de aplicaciones en modo servicio pretende servir como herramienta de apoyo a las Administraciones Públicas que quieran ofrecer aplicaciones, plataformas, infraestructuras o procesos en modo servicio a otros organismos.
Para ello, y con el objetivo de impulsar esta modalidad de servicio que supone importantes ahorros de costes para el sector público, esta guía desarrolla recomendaciones sobre:
Guía CCN-STIC 001 Seguridad TIC (Información Clasificada en la Administración)
El CCN-CERT ha hecho pública la Guía CCN-STIC 001 Seguridad TIC (Información Clasificada en la Administración) que tiene por objeto regular la política de seguridad de las tecnologías de la información que traten información clasificada en los sistemas de las Administraciones Públicas, mediante el establecimiento de principios básicos y la definición de requisitos mínimos para su adecuada protección.
Esta Política es de obligado cumplimiento en todos los sistemas que manejen información clasificada nacional en la Administración o cedida por la Administración, como en el caso de empresas que trabajen para la misma en contratos, programas o actividades clasificadas. También será de aplicación a todos aquellos sistemas propiedad de España y que manejen información clasificada de la Organización del Tratado del Atlántico Norte (OTAN), Unión Europea (UE) u otras organizaciones con las que nuestro país haya firmado un tratado o acuerdo de protección mutua de la información clasificada, a no ser que las estrategias de acreditación indiquen algo diferente.
Guía CCN-STIC CCN-STIC-830 Ámbito de aplicación del ENS
El CCN-CERT ha publicado la Guía CCN-STIC 830 Ámbito de aplicación del Esquema Nacional de Seguridad en la que se precisa en qué organizaciones y sobre qué materias es preciso aplicar el Real Decreto 3/2010, de 8 de enero, por el que se regula el ENS. La Guía, que se hacía imprescindible ante el importante volumen de entidades que conforman el sector público, aborda además la obligación de aplicar el Esquema en aquellas soluciones o servicios prestados por el sector privado en el ámbito público.
El documento diferencia entre el ámbito subjetivo de aplicación (organismos del sector público a los que aplica) y el ámbito objetivo o material (sistemas de información y comunicaciones a los que les es de aplicación).
A través de numerosos ejemplos de todas las entidades que comprenden el sector público, el documento incluye además un epígrafe sobre las materias a proteger, recordando que el ENS debe aplicarse técnicamente a todos los elementos que, en relación con los sistemas o servicios, puedan ser directa o indirectamente atacados. Estos elementos serían: hardware, software, soportes de información, comunicaciones, instalaciones, personal y servicios provisionados por terceros.
Estas nuevas versiones de las guías actualizan existentes de acuerdo con las leyes 39/2015 y 40/2015 y tienen como objetivo servir como herramienta de apoyo para la aplicación e implementación de lo dispuesto en las Normas Técnicas de Interoperabilidad en relación con el documento y el expediente administrativo.
Guía de auditoría de cumplimiento del ENI
El objetivo de esta Guía es proporcionar un instrumento que facilite que se pueda realizar una valoración del cumplimiento de las medidas de interoperabilidad, señalando una lista de controles sobre el Esquema Nacional de Interoperabilidad.
Esta Guía contiene un conjunto de controles apropiados para evaluar el cumplimiento de lo previsto en el ENI, agrupados en tres categorías: