Estás viendo una versión antigua de esta página. Ve a la versión actual.

Comparar con el actual Ver el historial de la página

« Anterior Versión 13 Siguiente »

Proceso: Evaluación de seguridad


Objetivo

Establecer el flujo del proceso de Evaluación de Proyectos que hace la Unidad de Seguridad TIC del SAS. 


Alcance

Este proceso aplica a los productos de tipo aplicación y a los de gestión de proyectos.

Roles

Los roles que intervienen en este proceso son

Rol

Descripción

Responsable de producto/Responsable de proyectoEs el máximo responsable del producto/proyecto desde el punto de vista de su gestión.
Unidad de Seguridad STICResponsable de la Evaluación del producto / proyecto desde el punto de vista de la seguridad. 


Flujo del proceso

Cualquier proyecto de nueva creación o implantación tendrá que ser Evaluado desde el punto de vista de la Seguridad por parte de la USTIC de forma previa a su aceptación y puesta en servicio, por lo que será  necesario crear una Evaluación de seguridad para que la USTIC proceda a evaluarlo. Esta Evaluación de seguridad desde el punto de vista de la seguridad NO se considerará impedimento bloqueante para el desarrollo de una determinada versión de un producto o para el desarrollo normal de un proyecto.

En el momento en el que se cree la evaluación de seguridad, será conveniente que aporte en la misma toda la documentación necesaria (diagrama de flujo de datos, acuerdo de encargado de tratamiento, Certificaciones de Seguridad, documentación funcional y técnica y a ser posible cumplimentando el formulario de recogida de datos)  para el buen desarrollo de los diferentes informes por parte de la USTIC, todo ello sin perjuicio de que se solicite ampliación de información al ser considerada insuficiente.


En el caso de los proyectos, independientemente del área TIC al que pertenezcan deberán tener creada la evaluación de seguridad. Los proyectos tienen una propiedad, denominada Revisión seguridad solicitada que mostrará el valor "Sí" cuando se haya creado la primera evalución de seguridad , de manera que la USTIC podrá controlar aquellos proyectos que no hayan pasado la revisión de seguridad. Existe una segunda propiedad, Revisión seguridad completada, que mostratá el valor "Sí" cuando se haya cerrado la primera evaluación de seguridad.

Este tipo de tarea podrán ser creadas por los integrantes del equipo provincial o del área centralizada a la que pertenezca el proyecto. o por el Responsable de producto en el caso de que se trate de una aplicación. En la misma creación se hará hincapié sobre la documentación que  la USTIC necesitará (diagrama de flujo de datos, acuerdo de encargado de tratamiento, Certificaciones de Seguridad, documentación funcional y técnica y a ser posible cumplimentando el formulario de recogida de datos así como enlace a su espacio donde pueden puedan consultar la información pertinente a dicho proyecto. En la creación hay que tener en cuenta que:

      • Aparecen una serie de preguntas y, en función de su respuesta, el comportamiento del flujo de la tarea es diferente. Las detallamos a continuación
      • Si la tarea de seguridad viene con la aprobación de alguien, pierde cualquier prioridad y será atendida por la USTIC cuando queden recursos disponibles para la misma. Si una tarea se crea y sigue su curso habitual pero en cualquier momento se registra que está autorizada, pasará a ese estado "latente" denominado "Pdte. revisión" y será atendida cuando sea posible.


Las preguntas que se hacen en la creación son:

¿Proyecto de nueva implantación?

    • Respuesta Sí

Se solicita contestar otras dos preguntas y aportar la documentación pertinente:

¿Dispone de acuerdo de encargado de tratamiento de datos en el contrato?

¿Dispone de certificación de seguridad del sistema?

Independientemente de estas respuestas, la tarea se creará y cualquier miembro de la USTIC podrá asignársela. Podrá pedir información y documentación al Responsable del proyecto/Responsable de producto. El resultado de la evaluación no constituye la aceptación para la puesta en servicio del proyecto y sí un asesoramiento sobre las medidas de seguridad a implantar, según el Esquema Nacional de Seguridad y el RGPD. 


    • Respuesta No

Se solicita contestar una serie de cuatro preguntas, de manera que si la contestación de alguna de ellas es Sí, el proceso será el mismo que en el caso anterior.

Si todas las preguntas tienen como respuesta No, la tarea de seguridad se cerrará directamente y el proyecto quedará registrado con la Revisión seguridad informada a Sí.



Una vez que la USTIC realiza la evaluación, resuelve la tarea indicando las posibles vulnerabilidades a corregir. En el caso de proyectos el usuario de la USTIC decidirá quién debe validar el resultado de esa evalución y si decide corregir los posibles fallos o asumirlos en el caso de que los hubiera. Para las aplicaciones esa validación se hace siempre por parte del Responsable de producto.


Ciclo de vida de las evaluaciones de seguridad

Además de los campos habituales al crear cualquier tarea, deben tenerse en cuenta los campos específicos que determinarán el ciclo de vida de la evalución de seguridad


 Los tipos de tarea sirven a la USTIC para organizar su trabajo. No es necesario por el solicitante de la evaluación de seguridad que sea informado el tipo de tarea.

El campo "Aprobado con carácter de urgencia por" no debe informarse. En el caso de que se informe, la evaluciaón de seguridad quedará "aparcada" por la USTIC puesto que el proyecto no depende para nada del resultado de la evaluación puesto que alguien ha autorizado su puesta en marcha. Ese estado al que van las tareas que tienen informado ese campo es "Pdte. revisión".


    • Proyecto de nueva implantación =Sí

Independientemente de lo que se conteste en las otras dos preguntas, la evaluación de seguridad siempre se va a hacer. Se creará en estado ABIERTA , sin asignar nominalmente pero asignada al grupo unidad-seguridad.

El usuario de la USTIC que vaya a llevar a cabo la evaluación deeb asignarse la tarea, de manera que los usuarios sepan quién es el responsable de evaluar su proyecto.

Si la USTIC tiene a su disposición toda la información necesaria, comenzará la evaluación. En caso contrario solicitará información a quien pueda proporcionársela.  En ese caso, la tarea pasará al estado PDTE. INFORMACIÓN asignada a quien debe aportar lo que se le solicita. Al completar la información, volverá de nuevo a asignarse al miembro de la USTIC que había solicitado la información.

Una vez que la USTIC tiene toda la información disponible para comenzar la evalucuación, la pasa a EN RESOLUCION accediendo a Comenzar. 


Una vez que la tarea esté en estado EN RESOLUCION, es posible que pueda necesitarse más información que volvería a pedirse exactamente igual que antes. 

Normalmente, la USTIC descompone el trabajo que tiene una evaluación de seguridad en fases, de manera que crea subtareas de la tarea padre. Estas subtareas (que son registros del tipo "Subtarea seguridad") conllevan las tareas definidas por la USTIC para una determinada fase. Puede ser necesrio a nivel de fase que se solicite información. tanto antes como una vez comenzada la fase. Una vez acabada, la USTIC la resolverá indicando quién debe ser el validador de la misma. Esto implica que como resultado de esa fase de la evalución, es posible que los usuarios de los equipos provinciales o los responsables de aplicaciones acepten esas recomendaciones o correcciones prOpuestas y una vez corregidas, pidan de nuevo que sean revisadas por la USTIC. Esto implicaría la no aceptación de la subtarea para que la USTIC vuelva a evaluar.



En el caso de aceptar la evaluación de la STIC la subtarea se cerrará.

Como siempre que haya subtareas, éstas deberán estar cerradas para poder cerrar la tarea padre,

Cuando se accede a resolver la tarea padre (sin subtareas o con todas las subtareas cerradas), el flujo es idéntico al descrito para las subtareas, es decir, la USTIC indica quién es el validador y este puede, o aceptar la evaluación de la USTIC y no hacer nada (se cerrará la tarea) o bien corregir esas vulnerabilidades y que la USTIC vuelva a evaluar (No aceptar solución técnica para pasar de nuevo a estado EN RESOLUCION).


    • Proyecto de nueva implantación= No

En este caso, las preguntas que aparecen al crear la evaluación de seguridad son diferentes


      • Si todas las respuestas son No: la USTIC considera que no debe hacer evaluación de seguridad de ese proyecto. Por tanto, la tarea se cierra automáticamente nada más crearse indicando en su resolución No se hará

      • Si al menos una de las respuestas es Sí: el flujo de la tarea es el mismo descrito para el proyecto de nueva implantación.

  • Sin etiquetas