Ver fuente

Objeto

Establecer el flujo del proceso de la evaluación de seguridad que hace la Unidad de Seguridad de la STIC.

Alcance

Este proceso aplica a los productos de tipo aplicación y a los de gestión de proyectos..

Roles

Los roles que intervienen en este proceso son

Rol	Descripción
Responsable de producto/Responsable de proyecto	Es el máximo responsable del producto/proyecto desde el punto de vista de su gestión.
Unidad de Seguridad STIC	Responsable de la evaluación de seguridad de la versión del producto/proyecto

Flujo del proceso

Cuando un producto/proyecto necesita revisión de seguridad por parte de la USTIC normalmente de forma previa a su aceptación y puesta en servicio, es necesario crear una tarea de seguridad para que la USTIC planifique su carga de trabajo. De entrada, nos e consideran bloqueantes para el desarrollo de una determinada versión de un producto o para un proyecto.

Ante todo, es importante conocer que toda la información que puede interesar de la USTIC ( plantillas y formularios. índices y estándares, etc.) se encuentra en su espacio de área.

En el caso de los proyectos, independientemente del área TIC al que pertenecen deben tener al menos una tarea de seguridad. Los proyectos van a tener una nueva propiedad, denominada Revisión seguridad que se informará a "Sí" cuando se cree la primera tarea de seguridad , de manera que la USTIC podrá controlar aquellos proyectos que no hayan pasado la revisión de seguridad.

Este tipo de tarea podrán ser creadas por los integrantes del equipo provincial o del área centralizada a la que pertenezca el proyecto. o por el Responsable de producto en el caso de que se trate de una aplicación En la misma creación se informa de aquella documentación que puede ser requerida por la USTIC así como enlace a su espacio donde pueden descargarse plantillas y formularios que pudieran ser requeridos. En la creación hay que tener en cuenta:

- - Aparecen una serie de preguntas y, en función de su respuesta, el comportamiento del flujo de la tarea es diferente. Las detallamos a continuación
  - Si la tarea de seguridad viene con la aprobación de alguien, pierde cualquier prioridad y será atendida por la USTIC cuando queden recursos disponibles para la misma. Si una tarea se crea y sigue su curso habitual pero en cualquier momento se registra que está autorizada, pasará a ese estado "latente" denominado "Pdte. revisión" y será atendida cuando sea posible.

Las preguntas que se hacen en la creación son:

¿Proyecto de nueva implantación?

- Respuesta Sí

Se solicita contestar otras dos preguntas y aportar la documentación pertinente:

¿Dispone de acuerdo de encargado de tratamiento de datos en el contrato?

¿Dispone de certificación de seguridad del sistema?

Independientemente de estas respuestas, la tarea se creará y cualquier miembro de la USTIC podrá asignársela. Podrá pedir información y documentación al Responsable del proyecto/Responsable de producto, quienes una vez finalizada la evaluación del proyecto, será los responsables de indicar si acepta o no el resultado de la misma. En el caso en que no se acepte esa evaluación, deberán corregirse las deficiencias detectadas por la USTIC que deberá volver a revisar y dar de nuevo el resultado de la revisión.

- Respuesta No

Se solicita contestar una serie de cuatro preguntas, de manera que si la contestación de alguna de ellas es Sí, el proceso será el mismo que en el caso anterior.

Si todas las preguntas tienen como respuesta No, la tarea de seguridad de cerrará directamente y el proyecto quedará registrado con la Revisión seguridad informada a Sí