Apartado 1 de 31.- MARCO ORGANIZATIVO
¿Dispone de una política de seguridad escrita y aprobada por un órgano superior competente?
¿Dispone la organización de uno o varios documentos que constituyan la normativa de seguridad escrita?
¿Dispone de uno o varios documentos que constituyan los procedimientos de seguridad escritos?
¿Existe un proceso formal para las autorizaciones respecto a los sistemas de información?
Apartado 2 de 31.- MARCO OPERACIONAL - CONTROL DE ACCESO
¿Cada entidad (usuario o proceso) que accede al sistema tiene asignado un identificador singular?
¿Se protegen los recursos del sistema con algún mecanismo que impida su utilización (salvo a las entidades que disfruten de derechos de acceso suficientes)?
¿Existe segregación de funciones y tareas?
¿Se limitan los privilegios de cada usuario al mínimo estrictamente necesario para acceder a la información requerida y para cumplir sus obligaciones?
¿Se encuentra identificado el mecanismo de autenticación en cada sistema?
¿Se utiliza doble factor de autenticación?
¿Se suspenden las credenciales tras un periodo definido de no utilización?
¿Se previene la revelación de información del sistema?
¿Informa el sistema al usuario del último acceso con su identidad con éxito?
¿Se limita el horario, fechas y lugar desde donde se accede?
¿Se garantiza la seguridad del sistema cuando acceden remotamente usuarios u otras entidades?
¿Está documentado lo que puede hacerse remotamente?
Apartado 3 de 31.- MARCO OPERACIONAL - EXPLOTACIÓN
¿Dispone de un inventario de activos del sistema?
¿Dispone de un procedimiento de fortificación o bastionado de los sistemas previo a su entrada en operación?
¿Se gestiona de forma continua la configuración?
¿Dispone de un plan de mantenimiento del equipamiento físico y lógico?
¿Dispone de un control continuo de cambios realizados en el sistema?
¿Dispone de un proceso integral para hacer frente a incidentes que puedan tener un impacto en la seguridad del sistema? APLICA SOLO EN NIVEL MEDIO
¿Se registran todas las actividades de los usuarios en el sistema especialmente activando los registros de actividad en los servidores?
¿Se revisan informalmente los registros de actividad en busca de patrones anormales?
¿Se dispone de un sistema automático de recolección de registros y correlación de eventos?
¿Se registran todas las actuaciones relacionadas con la gestión de incidentes?
¿Se encuentran protegidos los registros del sistema?
¿Se protegen las claves criptográficas durante todo su ciclo de vida?
¿Se utilizan medios de generación y custodia en explotación evaluados o dispositivos criptográficos certificados?
Apartado 4 de 31.- MARCO OPERACIONAL - RECURSOS EXTERNOS
¿Se han analizado los riesgos de la contratación de servicios externos?
¿Dispone de un sistema rutinario para medir el cumplimiento de las obligaciones de servicio?
¿Dispone de un procedimiento para neutralizar cualquier desviación fuera del margen de tolerancia acordado?
¿Se han establecido el mecanismo y los procedimientos de coordinación en caso de incidentes y desastres?
¿Dispone de un plan para reemplazar el servicio por medios alternativos en caso de indisponibilidad del servicio contratado?
¿El servicio alternativo ofrece las mismas garantías de seguridad que el servicio habitual?
¿El plan de reemplazamiento de servicios se vertebra dentro del plan de continuidad de la organización?
Apartado 5 de 31.- MARCO OPERACIONAL - SERVICIOS EN LA NUBE
¿Los servicios en la nube recibidos de terceros son conformes con el ENS o cumplen con las medidas desarrolladas en la guía CCN-STIC de aplicación?
Apartado 6 de 31.- MARCO OPERACIONAL - CONTINUIDAD DEL SERVICIO
¿Se ha realizado un análisis de impacto?
¿Dispone de un plan de continuidad?
¿Identifica dicho plan funciones, responsabilidades y actividades a realizar?
¿Existe una previsión de los medios alternativos que se van a conjugar para poder seguir prestando los servicios?
¿Están los medios alternativos planificados y materializados en acuerdos o contratos con los proveedores correspondientes?
¿Han recibido las personas afectadas por el plan la formación específica relativa a su papel en el mismo?
¿Se realizan pruebas periódicas para localizar y corregir, en su caso, los errores o deficiencias que puedan existir en el plan de continuidad?
Apartado 7 de 31.- MARCO OPERACIONAL - MONITORIZACIÓN DEL SISTEMA
¿Dispone de herramientas de detección o prevención de intrusión?
¿Se recopilan los datos necesarios atendiendo a la categoría del Sistema para conocer el grado de implantación de las medidas de seguridad?
¿Dichos valores permiten valorar el sistema de gestión de incidentes?
¿Dichos valores miden la eficiencia de las medidas de seguridad incluyendo recursos consumidos?
Apartado 8 de 31.- MEDIDAS DE PROTECCIÓN - PROTECCIÓN DE LAS INSTALACIONES E INFRAESTRUCTURAS
¿El equipamiento ha sido instalado en áreas separadas específicas para su función?
¿Se dispone de un mecanismo de control de acceso a los locales donde hay equipamiento que forme parte del sistema de información?
¿Los locales donde se ubican los sistemas de información y sus componentes disponen de las adecuadas condiciones de temperatura y humedad?
¿Se dispone de las tomas eléctricas necesarias?
¿Se garantiza el suministro de potencia eléctrica?
¿Se garantiza el correcto funcionamiento de las luces de emergencia?
¿Se garantiza el suministro de potencia eléctrica en caso de fallo del suministro general, garantizando el tiempo suficiente para una terminación ordenada de los procesos, salvaguardando la información?
¿Se protegen los locales donde se ubiquen los sistemas de información y sus componentes frente a incendios fortuitos o deliberados?
¿Se protegen los locales donde se ubiquen los sistemas de información y sus componentes frente a incidentes fortuitos o deliberados causados por el agua?
¿Se lleva un registro pormenorizado de toda entrada y salida de equipamiento, incluyendo la identificación de la persona que autoriza el movimiento?
¿Está garantizada la existencia y disponibilidad de instalaciones alternativas para poder trabajar en caso de que las instalaciones habituales no estén disponibles?
Apartado 9 de 31.- MEDIDAS DE PROTECCIÓN - GESTIÓN DEL PERSONAL
¿Se ha caracterizado cada puesto de trabajo?
¿Los requisitos del puesto de trabajo se tienen en cuenta en la selección de la persona que vaya a ocupar dicho puesto, incluyendo la verificación de sus antecedentes laborales, formación y otras referencias?
¿Se informa a cada persona que trabaja en el sistema de los deberes y responsabilidades de su puesto de trabajo en materia de seguridad?
¿Se han establecido, en el caso de personal contratado a través de un tercero, los deberes y obligaciones del personal?
¿Se realizan acciones para concienciar regularmente al personal acerca de su papel y responsabilidad para que la seguridad del sistema alcance los niveles exigidos?
¿Se forma regularmente al personal en aquellas materias que requieran para el desempeño de sus funciones?
¿Está garantizada la existencia y disponibilidad de otras personas que se puedan hacer cargo de las funciones en caso de indisponibilidad del personal habitual?
Apartado 10 de 31.- MEDIDAS DE PROTECCIÓN - PROTECCIÓN DE LOS EQUIPOS
¿Se exige que los puestos de trabajo permanezcan despejados, sin más material encima de la mesa que el requerido para la actividad que se está realizando en cada momento?
¿Se guarda este material en lugar cerrado cuando no se está utilizando?
¿El puesto de trabajo se bloquea al cabo de un tiempo prudencial de inactividad, requiriendo una nueva autenticación del usuario para reanudar la actividad en curso?
¿Pasado un cierto tiempo, superior al anterior, se cancelan las sesiones abiertas desde dicho puesto de trabajo?
¿Son protegidos adecuadamente los equipos que sean susceptibles de salir de las instalaciones de la organización y no puedan beneficiarse de la protección física correspondiente, con un riesgo manifiesto de pérdida o robo?
¿Se le ha dotado de detectores de violación que permitan saber si el equipo ha sido manipulado y activen los procedimientos previstos de gestión del incidente?
¿Se protege la información de nivel alto almacenada en el disco mediante cifrado?
¿Está garantizada la existencia y disponibilidad de medios alternativos de tratamiento de la información en caso de indisponibilidad de los medios habituales?
Apartado 11 de 31.- MEDIDAS DE PROTECCIÓN - PROTECCIÓN DE LAS COMUNICACIONES
¿Dispone de cortafuegos que separe la red interna del exterior?
¿El sistema de cortafuegos consta de dos o más equipos de diferente fabricante dispuestos en cascada?
¿Se dispone de sistemas redundantes?
¿Se emplean redes privadas virtuales (VPN3 ) cuando la comunicación discurre por redes fuera del propio dominio de seguridad?
¿Se emplean preferentemente dispositivos hardware en el establecimiento y utilización de la VPN?
¿Se emplean productos certificados?
Se asegura la autenticidad del otro extremo de un canal de comunicación antes de intercambiar información alguna?
¿Se previenen ataques activos (alteración de la información en tránsito, inyección de información espuria o secuestro de la sesión por una tercera parte), garantizando que al menos serán detectados, y se activarán los procedimientos previstos de tratamiento del incidente?
¿Se utilizan mecanismos de autenticación de los previstos en la normativa de aplicación?
¿Se emplean redes privadas virtuales cuando la comunicación discurre por redes fuera del propio dominio de seguridad?
¿Se emplean preferentemente dispositivos hardware en el establecimiento y utilización de la VPN?
¿Se emplean productos certificados?
¿Se encuentra la red segmentada?
¿Está garantizada la existencia y disponibilidad de medios alternativos de comunicación en caso de indisponibilidad de los medios habituales?
Apartado 12 de 31.- MEDIDAS DE PROTECCIÓN - PROTECCIÓN DE LOS SOPORTES DE INFORMACIÓN
¿Se encuentran etiquetados los soportes de información?
¿Indica el nivel de seguridad de la información contenida de mayor calificación?
¿Pueden los usuarios entender el significado de las etiquetas, bien mediante simple inspección, bien mediante recurriendo a un repositorio que lo explique?
¿Se aplica tanto a aquellos en soporte electrónico como no electrónico (que hayan sido causa o consecuencia directa de la información electrónica dentro del alcance del ENS)?
¿Se aplican mecanismos criptográficos, en particular, a todos los dispositivos removibles (CD, DVD, discos USB, u otros de naturaleza análoga) que garanticen la confidencialidad e integridad de la información contenida?
¿Emplean algoritmos acreditados por el CCN?
¿Se emplean productos certificados?
¿Se aplica la debida diligencia y control a los soportes de información que permanecen bajo la responsabilidad de la organización?
¿Garantiza el control de acceso con medidas físicas, lógicas o ambas?
¿Garantiza que se respeten las exigencias de mantenimiento del fabricante, en especial en lo referente a temperatura, humedad y otros agresores medioambientales?
¿Dispone de un registro de salida que identifica al transportista que recibe el soporte para su traslado?
¿Dispone de un registro de entrada que identifica al transportista que lo entrega?
¿Utiliza medios de protección criptográfica correspondientes al nivel de calificación de la información contenida de mayor nivel?
¿Los soportes que vayan a ser reutilizados para otra información o liberados a otra organización, son borrados de forma segura?
¿Se destruyen de forma segura los soportes cuando la naturaleza del soporte no permita un borrado seguro?
¿Se destruyen de forma segura los soportes según el tipo de la información contenida?
¿Se emplean productos certificados?
Apartado 13 de 31.- MEDIDAS DE PROTECCIÓN - PROTECCIÓN DE LAS APLICACIONES INFORMÁTICAS
¿Se desarrollan aplicaciones sobre un sistema diferente y separado del de producción?
¿Existen herramientas o datos de desarrollo en el entorno de producción?
¿Aplica una metodología de desarrollo reconocida?
¿Los mecanismos de identificación y autenticación son parte integral del diseño del sistema?
¿Se realizan las pruebas anteriores a la implantación o modificación de los sistemas de información con datos reales?
¿Dispone de un plan de pruebas antes de pasar a producción para comprobar el correcto funcionamiento de la aplicación?
¿Previamente a la entrada en servicio, se le realiza un análisis de vulnerabilidades?
Apartado 14 de 31.- MEDIDAS DE PROTECCIÓN - PROTECCIÓN DE LA INFORMACIÓN
¿Se ha identificado si el sistema trata datos de carácter personal?
En caso de tratar datos de carácter personal ¿se aplica la normativa vigente?
¿Se califica la información conforme a lo establecido legalmente sobre la naturaleza de la misma?
¿Se establece la política de seguridad quién es el responsable de cada información manejada por el sistema?
¿Recoge la política de seguridad, directa o indirectamente, los criterios que en la organización determinan el nivel de seguridad requerido?
¿El responsable de cada información sigue los criterios determinados en la política de seguridad para asignar a cada información el nivel de seguridad requerido y es responsable de su documentación y aprobación formal?
¿El responsable de cada información en cada momento tiene en exclusiva la potestad de modificar el nivel de seguridad requerido, de acuerdo a la política de seguridad?
¿Existen procedimientos que describan en detalle la forma en que se ha de etiquetar y tratar la información?
¿Se cifra la información con un nivel alto en confidencialidad tanto durante su almacenamiento como durante su transmisión?
¿Permanece sólo en claro la información con un nivel alto en confidencialidad mientras se está haciendo uso de ella?
¿Dispone de una Política de Firma Electrónica aprobada por el órgano superior competente que corresponda?
¿Se firman electrónicamente los documentos que requieren capacidad probatoria según la ley de procedimiento administrativo común de las Administraciones Públicas?
En el caso de que se utilicen otros mecanismos de firma electrónica sujetos a derecho, ¿se incorporan medidas compensatorias suficientes que ofrezcan garantías equivalentes o superiores en lo relativo a prevención del repudio?
Si se emplean sistemas de firma electrónica avanzada, ¿se emplean certificados cualificados?
¿Se emplean preferentemente certificados reconocidos?
¿Se emplean algoritmos acreditados por el CCN?
¿Se garantiza la verificación y validación de la firma electrónica durante el tiempo requerido por la actividad administrativa que aquella soporte, sin perjuicio de que se pueda ampliar ese periodo de acuerdo con lo que establezca la política de firma electrónica y de certificados que sea de aplicación?
¿Se emplean certificados cualificados?
¿Se emplean dispositivos cualificados de creación de firma?
¿Se emplean productos certificados?
¿Se aplican sellos de tiempo (fechado electrónico) a aquella información que sea susceptible de ser utilizada como evidencia en el futuro?
¿Los datos pertinentes para la verificación posterior de la fecha son tratados con la misma seguridad que la información fechada a efectos de disponibilidad, integridad y confidencialidad?
¿Se renuevan regularmente los sellos de tiempo hasta que la información protegida ya no sea requerida por el proceso administrativo al que da soporte?
¿Se utilizan productos certificados o servicios externos admitidos?
¿Existe un procedimiento para limpiar (retirar la información contenida en campos ocultos, meta-datos, comentarios o revisiones) todos los documentos que van a ser transferidos a otro dominio de seguridad, salvo cuando dicha información sea pertinente para el receptor del documento?
¿Realizan copias de respaldo que permitan recuperar datos perdidos accidental o intencionadamente con una antigüedad determinada?
Apartado 15 de 31.- MARCO OPERACIONAL - PLANIFICACIÓN
¿Dispone de un análisis de riesgos, al menos, informal (identificación de activos, amenazas, salvaguardas y riesgos residuales)?
¿Dispone de un análisis de riesgos, al menos, semiformal (identificación y valoración de activos, amenazas, salvaguardas y riesgos residuales)?
¿Dispone de un análisis de riesgos formal (identificación y valoración de activos, amenazas, vulnerabilidades, salvaguardas y riesgos residuales utilizando un
fundamento metodológico reconocido internacionalmente?
¿Dispone de documentación de las instalaciones precisando áreas y puntos de acceso?
¿Dispone de documentación que refleje equipos, redes y puntos de acceso al sistema?
¿Se precisa el uso de claves concertadas, contraseñas, tarjetas de identificación, biometría, u otras de naturaleza análoga?
¿Dispone de un sistema de gestión relativo a la planificación, organización y control de los recursos relativos a la seguridad de la información?
¿Dispone de documentación del sistema de gestión con actualización y aprobación periódica?
¿Existe un proceso formal para planificar la adquisición de nuevos componentes del sistema?
¿Antes de la puesta en explotación, se han estudiado las necesidades de dimensionamiento?
¿Se utilizan sistemas, productos o equipos cuyas funcionalidades de seguridad y su nivel hayan sido evaluados conforme a normas europeas o internacionales?
Apartado 16 de 31.- MARCO ORGANIZATIVO
¿Existe un proceso formal para las autorizaciones respecto a los sistemas de información?
¿Dispone de una política de seguridad escrita y aprobada por un órgano superior competente?
¿Dispone la organización de uno o varios documentos que constituyan la normativa de seguridad escrita?
¿Dispone de uno o varios documentos que constituyan los procedimientos de seguridad escritos?
Apartado 17 de 31.- MEDIDAS DE PROTECCIÓN - PROTECCIÓN DE LOS SERVICIOS
¿La información que se distribuye por medio de correo electrónico se protege, tanto en el cuerpo de los mensajes como en los anexos?
¿Se protege la información de encaminamiento de mensajes y establecimiento de conexiones?
¿Se protege a la organización frente a problemas que se materializan por medio del correo electrónico, como del correo no solicitado (spam)?
¿Se han establecido normas de uso del correo electrónico?
¿Se encuentran protegidos los subsistemas dedicados a la publicación de información frente a las amenazas que les son propias?
Cuando la información tenga algún tipo de control de acceso ¿se garantiza la imposibilidad de acceder a la información obviando la autenticación?
¿Se previenen intentos de escalado de privilegios?
¿Se realizan auditorías de seguridad y pruebas de penetración?
¿Se emplean certificados de autenticación de sitio web acordes a la normativa europea en la materia?
¿Se emplean certificados cualificados de autenticación de sitio web acordes a la normativa europea en la materia? - APLICA SOLO EN NIVEL ALTO
¿Se ha planificado y dotado al sistema de capacidad suficiente para atender a la carga prevista con holgura? - APLICA SOLO EN NIVEL MEDIO
¿Se han desplegado tecnologías para prevenir los ataques conocidos de denegación de servicio (Denial of Service (DoS)? - APLICA SOLO EN NIVEL MEDIO
¿Se ha establecido un sistema de detección de ataques de denegación de servicio? - APLICA SOLO EN NIVEL ALTO
¿Se ha establecido un procedimiento de reacción a los ataques, incluyendo la comunicación con el proveedor de comunicaciones? - APLICA SOLO EN NIVEL ALTO
¿Se impide el lanzamiento de ataques desde las propias instalaciones perjudicando a terceros? - APLICA SOLO EN NIVEL ALTO
¿Está garantizada la existencia y disponibilidad de medios alternativos para prestar los servicios en caso de indisponibilidad de los medios habituales? - APLICA SOLO EN NIVEL ALTO
Apartado 18 de 31.- MARCO OPERACIONAL - PLANIFICACIÓN
¿Dispone de un análisis de riesgos, al menos, informal (identificación de activos, amenazas, salvaguardas y riesgos residuales)? - APLICA SOLO EN NIVEL BAJO
¿Dispone de un análisis de riesgos, al menos, semiformal (identificación y valoración de activos, amenazas, salvaguardas y riesgos residuales)? - APLICA SOLO EN NIVEL MEDIO
¿Dispone de un análisis de riesgos formal (identificación y valoración de activos, amenazas, vulnerabilidades, salvaguardas y riesgos residuales utilizando un
fundamento metodológico reconocido internacionalmente? - APLICA SOLO EN NIVEL ALTO
¿Dispone de documentación de las instalaciones precisando áreas y puntos de acceso?
¿Dispone de documentación que refleje equipos, redes y puntos de acceso al sistema?
¿Se precisa el uso de claves concertadas, contraseñas, tarjetas de identificación, biometría, u otras de naturaleza análoga?
¿Dispone de un sistema de gestión relativo a la planificación, organización y control de los recursos relativos a la seguridad de la información? - APLICA SOLO EN NIVEL MEDIO
¿Dispone de documentación del sistema de gestión con actualización y aprobación periódica? - APLICA SOLO EN NIVEL ALTO
¿Existe un proceso formal para planificar la adquisición de nuevos componentes del sistema?
¿Antes de la puesta en explotación, se han estudiado las necesidades de dimensionamiento? - APLICA SOLO EN NIVEL MEDIO
¿Se utilizan sistemas, productos o equipos cuyas funcionalidades de seguridad y su nivel hayan sido evaluados conforme a normas europeas o internacionales? - APLICA SOLO EN NIVEL ALTO
Apartado 19 de 31.- MARCO OPERACIONAL - CONTROL DE ACCESO
¿Cada entidad (usuario o proceso) que accede al sistema tiene asignado un identificador singular?
¿Se protegen los recursos del sistema con algún mecanismo que impida su utilización (salvo a las entidades que disfruten de derechos de acceso suficientes)?
¿Existe segregación de funciones y tareas? - APLICA SOLO EN NIVEL MEDIO
¿Se limitan los privilegios de cada usuario al mínimo estrictamente necesario para acceder a la información requerida y para cumplir sus obligaciones?
¿Se encuentra identificado el mecanismo de autenticación en cada sistema?
¿Se utiliza doble factor de autenticación? - APLICA SOLO EN NIVEL MEDIO
¿Se suspenden las credenciales tras un periodo definido de no utilización? - APLICA SOLO EN NIVEL ALTO
¿Se previene la revelación de información del sistema?
¿Informa el sistema al usuario del último acceso con su identidad con éxito? - APLICA SOLO EN NIVEL MEDIO
¿Se limita el horario, fechas y lugar desde donde se accede? - APLICA SOLO EN NIVEL ALTO
¿Se garantiza la seguridad del sistema cuando acceden remotamente usuarios u otras entidades?
¿Está documentado lo que puede hacerse remotamente? - APLICA SOLO EN NIVEL MEDIO
Apartado 20 de 31.- MARCO OPERACIONAL - EXPLOTACIÓN
¿Dispone de un inventario de activos del sistema?
¿Dispone de un procedimiento de fortificación o bastionado de los sistemas previo a su entrada en operación?
¿Se gestiona de forma continua la configuración? - APLICA SOLO EN NIVEL MEDIO
¿Dispone de un plan de mantenimiento del equipamiento físico y lógico?
¿Dispone de un control continuo de cambios realizados en el sistema? - APLICA SOLO EN NIVEL MEDIO
¿Dispone de un proceso integral para hacer frente a incidentes que puedan tener un impacto en la seguridad del sistema? APLICA SOLO EN NIVEL MEDIO
¿Se registran todas las actividades de los usuarios en el sistema especialmente activando los registros de actividad en los servidores?
¿Se revisan informalmente los registros de actividad en busca de patrones anormales? - APLICA SOLO EN NIVEL MEDIO
¿Se dispone de un sistema automático de recolección de registros y correlación de eventos? - APLICA SOLO EN NIVEL ALTO
¿Se registran todas las actuaciones relacionadas con la gestión de incidentes? - APLICA SOLO EN NIVEL MEDIO
¿Se encuentran protegidos los registros del sistema? - APLICA SOLO EN NIVEL ALTO
¿Se protegen las claves criptográficas durante todo su ciclo de vida?
¿Se utilizan medios de generación y custodia en explotación evaluados o dispositivos criptográficos certificados? - APLICA SOLO EN NIVEL MEDIO
Apartado 21 de 31.- MARCO OPERACIONAL - SERVICIOS EXTERNOS
¿Se han analizado los riesgos de la contratación de servicios externos? - APLICA SOLO EN NIVEL MEDIO
¿Dispone de un sistema rutinario para medir el cumplimiento de las obligaciones de servicio? - APLICA SOLO EN NIVEL MEDIO
¿Dispone de un procedimiento para neutralizar cualquier desviación fuera del margen de tolerancia acordado? - APLICA SOLO EN NIVEL MEDIO
¿Se han establecido el mecanismo y los procedimientos de coordinación en caso de incidentes y desastres? - APLICA SOLO EN NIVEL MEDIO
¿Dispone de un plan para reemplazar el servicio por medios alternativos en caso de indisponibilidad del servicio contratado? - APLICA SOLO EN NIVEL ALTO
¿El servicio alternativo ofrece las mismas garantías de seguridad que el servicio habitual? - APLICA SOLO EN NIVEL ALTO
¿El plan de reemplazamiento de servicios se vertebra dentro del plan de continuidad de la organización? - APLICA SOLO EN NIVEL ALTO
Apartado 22 de 31.- MARCO OPERACIONAL - CONTINUIDAD DEL SERVICIO
¿Se ha realizado un análisis de impacto? - APLICA SOLO EN NIVEL MEDIO
¿Dispone de un plan de continuidad? - APLICA SOLO EN NIVEL ALTO
¿Identifica dicho plan funciones, responsabilidades y actividades a realizar? - APLICA SOLO EN NIVEL ALTO
¿Existe una previsión de los medios alternativos que se van a conjugar para poder seguir prestando los servicios? - APLICA SOLO EN NIVEL ALTO
¿Están los medios alternativos planificados y materializados en acuerdos o contratos con los proveedores correspondientes? - APLICA SOLO EN NIVEL ALTO
¿Han recibido las personas afectadas por el plan la formación específica relativa a su papel en el mismo? - APLICA SOLO EN NIVEL ALTO
¿Se realizan pruebas periódicas para localizar y corregir, en su caso, los errores o deficiencias que puedan existir en el plan de continuidad? - APLICA SOLO EN NIVEL ALTO
Apartado 23 de 31.- MARCO OPERACIONAL - MONITORIZACIÓN DEL SISTEMA
¿Dispone de herramientas de detección o prevención de intrusión? - APLICA SOLO EN NIVEL MEDIO
¿Se recopilan los datos necesarios atendiendo a la categoría del Sistema para conocer el grado de implantación de las medidas de seguridad?
¿Dichos valores permiten valorar el sistema de gestión de incidentes? - APLICA SOLO EN NIVEL MEDIO
¿Dichos valores miden la eficiencia de las medidas de seguridad incluyendo recursos consumidos? - APLICA SOLO EN NIVEL ALTO
Apartado 24 de 31.- MEDIDAS DE PROTECCIÓN - PROTECCIÓN DE LAS INSTALACIONES E INFRAESTRUCTURAS
¿El equipamiento ha sido instalado en áreas separadas específicas para su función?
¿Se dispone de un mecanismo de control de acceso a los locales donde hay equipamiento que forme parte del sistema de información?
¿Los locales donde se ubican los sistemas de información y sus componentes disponen de las adecuadas condiciones de temperatura y humedad?
¿Se dispone de las tomas eléctricas necesarias?
¿Se garantiza el suministro de potencia eléctrica?
¿Se garantiza el correcto funcionamiento de las luces de emergencia?
¿Se garantiza el suministro de potencia eléctrica en caso de fallo del suministro general, garantizando el tiempo suficiente para una terminación ordenada de los procesos, salvaguardando la información? - APLICA SOLO EN NIVEL MEDIO
¿Se protegen los locales donde se ubiquen los sistemas de información y sus componentes frente a incendios fortuitos o deliberados?
¿Se protegen los locales donde se ubiquen los sistemas de información y sus componentes frente a incidentes fortuitos o deliberados causados por el agua? - APLICA SOLO EN NIVEL MEDIO
¿Se lleva un registro pormenorizado de toda entrada y salida de equipamiento, incluyendo la identificación de la persona que autoriza el movimiento?
¿Está garantizada la existencia y disponibilidad de instalaciones alternativas para poder trabajar en caso de que las instalaciones habituales no estén disponibles? - APLICA SOLO EN NIVEL ALTO
Apartado 25 de 31.- MEDIDAS DE PROTECCIÓN - GESTIÓN DEL PERSONAL
¿Se ha caracterizado cada puesto de trabajo? - APLICA SOLO EN NIVEL MEDIO
¿Los requisitos del puesto de trabajo se tienen en cuenta en la selección de la persona que vaya a ocupar dicho puesto, incluyendo la verificación de sus antecedentes laborales, formación y otras referencias? - APLICA SOLO EN NIVEL MEDIO
¿Se informa a cada persona que trabaja en el sistema de los deberes y responsabilidades de su puesto de trabajo en materia de seguridad?
¿Se han establecido, en el caso de personal contratado a través de un tercero, los deberes y obligaciones del personal?
¿Se realizan acciones para concienciar regularmente al personal acerca de su papel y responsabilidad para que la seguridad del sistema alcance los niveles exigidos?
¿Se forma regularmente al personal en aquellas materias que requieran para el desempeño de sus funciones?
¿Está garantizada la existencia y disponibilidad de otras personas que se puedan hacer cargo de las funciones en caso de indisponibilidad del personal habitual? - APLICA SOLO EN NIVEL ALTO
Apartado 26 de 31.- MEDIDAS DE PROTECCIÓN - PROTECCIÓN DE LOS EQUIPOS
¿Se exige que los puestos de trabajo permanezcan despejados, sin más material encima de la mesa que el requerido para la actividad que se está realizando en cada momento?
¿Se guarda este material en lugar cerrado cuando no se está utilizando? - APLICA SOLO EN NIVEL MEDIO
¿El puesto de trabajo se bloquea al cabo de un tiempo prudencial de inactividad, requiriendo una nueva autenticación del usuario para reanudar la actividad en curso? - APLICA SOLO EN NIVEL MEDIO
¿Pasado un cierto tiempo, superior al anterior, se cancelan las sesiones abiertas desde dicho puesto de trabajo? - APLICA SOLO EN NIVEL ALTO
¿Son protegidos adecuadamente los equipos que sean susceptibles de salir de las instalaciones de la organización y no puedan beneficiarse de la protección física correspondiente, con un riesgo manifiesto de pérdida o robo?
¿Se le ha dotado de detectores de violación que permitan saber si el equipo ha sido manipulado y activen los procedimientos previstos de gestión del incidente? - APLICA SOLO EN NIVEL ALTO
¿Se protege la información de nivel alto almacenada en el disco mediante cifrado? - APLICA SOLO EN NIVEL ALTO
¿Está garantizada la existencia y disponibilidad de medios alternativos de tratamiento de la información en caso de indisponibilidad de los medios habituales? - APLICA SOLO EN NIVEL MEDIO
Apartado 27 de 31.- MEDIDAS DE PROTECCIÓN - PROTECCIÓN DE LAS COMUNICACIONES
¿Dispone de cortafuegos que separe la red interna del exterior?
¿El sistema de cortafuegos consta de dos o más equipos de diferente fabricante dispuestos en cascada? - APLICA SOLO EN NIVEL ALTO
¿Se dispone de sistemas redundantes? - APLICA SOLO EN NIVEL ALTO
¿Se emplean redes privadas virtuales (VPN3 ) cuando la comunicación discurre por redes fuera del propio dominio de seguridad? - APLICA SOLO EN NIVEL MEDIO
¿Se emplean preferentemente dispositivos hardware en el establecimiento y utilización de la VPN? - APLICA SOLO EN NIVEL ALTO
¿Se emplean productos certificados? - APLICA SOLO EN NIVEL ALTO
Se asegura la autenticidad del otro extremo de un canal de comunicación antes de intercambiar información alguna?
¿Se previenen ataques activos (alteración de la información en tránsito, inyección de información espuria o secuestro de la sesión por una tercera parte), garantizando que al menos serán detectados, y se activarán los procedimientos previstos de tratamiento del incidente?
¿Se utilizan mecanismos de autenticación de los previstos en la normativa de aplicación?
¿Se emplean redes privadas virtuales cuando la comunicación discurre por redes fuera del propio dominio de seguridad? - APLICA SOLO EN NIVEL MEDIO
¿Se emplean preferentemente dispositivos hardware en el establecimiento y utilización de la VPN? - APLICA SOLO EN NIVEL ALTO
¿Se emplean productos certificados? - APLICA SOLO EN NIVEL ALTO
¿Se encuentra la red segmentada? - APLICA SOLO EN NIVEL ALTO
¿Está garantizada la existencia y disponibilidad de medios alternativos de comunicación en caso de indisponibilidad de los medios habituales? - APLICA SOLO EN NIVEL ALTO
Apartado 28 de 31.- MEDIDAS DE PROTECCIÓN - PROTECCIÓN DE LOS SOPORTES DE INFORMACIÓN
¿Pueden los usuarios entender el significado de las etiquetas, bien mediante simple inspección, bien mediante recurriendo a un repositorio que lo explique?
¿Se aplica tanto a aquellos en soporte electrónico como no electrónico (que hayan sido causa o consecuencia directa de la información electrónica dentro del alcance del ENS)?
¿Se aplican mecanismos criptográficos, en particular, a todos los dispositivos removibles (CD, DVD, discos USB, u otros de naturaleza análoga) que garanticen la confidencialidad e integridad de la información contenida? - APLICA SOLO EN NIVEL MEDIO
¿Emplean algoritmos acreditados por el CCN? - APLICA SOLO EN NIVEL ALTO
¿Se emplean productos certificados? - APLICA SOLO EN NIVEL ALTO
¿Se aplica la debida diligencia y control a los soportes de información que permanecen bajo la responsabilidad de la organización?
¿Garantiza el control de acceso con medidas físicas, lógicas o ambas?
¿Garantiza que se respeten las exigencias de mantenimiento del fabricante, en especial en lo referente a temperatura, humedad y otros agresores medioambientales?
¿Dispone de un registro de salida que identifica al transportista que recibe el soporte para su traslado?
¿Dispone de un registro de entrada que identifica al transportista que lo entrega?
¿Utiliza medios de protección criptográfica correspondientes al nivel de calificación de la información contenida de mayor nivel?
¿Los soportes que vayan a ser reutilizados para otra información o liberados a otra organización, son borrados de forma segura?
¿Se destruyen de forma segura los soportes cuando la naturaleza del soporte no permita un borrado seguro? - APLICA SOLO EN NIVEL MEDIO
¿Se destruyen de forma segura los soportes según el tipo de la información contenida? - APLICA SOLO EN NIVEL MEDIO
¿Se emplean productos certificados? - APLICA SOLO EN NIVEL MEDIO
¿Se encuentran etiquetados los soportes de información?
¿Indica el nivel de seguridad de la información contenida de mayor calificación?
Apartado 29 de 31.- MEDIDAS DE PROTECCIÓN - PROTECCIÓN DE LAS APLICACIONES INFORMÁTICAS
¿Se desarrollan aplicaciones sobre un sistema diferente y separado del de producción? - APLICA SOLO EN NIVEL MEDIO
¿Existen herramientas o datos de desarrollo en el entorno de producción? - APLICA SOLO EN NIVEL MEDIO
¿Aplica una metodología de desarrollo reconocida? - APLICA SOLO EN NIVEL MEDIO
¿Los mecanismos de identificación y autenticación son parte integral del diseño del sistema? - APLICA SOLO EN NIVEL MEDIO
¿Se realizan las pruebas anteriores a la implantación o modificación de los sistemas de información con datos reales? - APLICA SOLO EN NIVEL MEDIO
¿Dispone de un plan de pruebas antes de pasar a producción para comprobar el correcto funcionamiento de la aplicación?
¿Previamente a la entrada en servicio, se le realiza un análisis de vulnerabilidades? - APLICA SOLO EN NIVEL MEDIO
Apartado 30 de 31.- MEDIDAS DE PROTECCIÓN - PROTECCIÓN DE LA INFORMACIÓN
¿Se ha identificado si el sistema trata datos de carácter personal?
En caso de tratar datos de carácter personal ¿se aplica la normativa vigente?
¿Se califica la información conforme a lo establecido legalmente sobre la naturaleza de la misma?
¿Se establece la política de seguridad quién es el responsable de cada información manejada por el sistema?
¿Recoge la política de seguridad, directa o indirectamente, los criterios que en la organización determinan el nivel de seguridad requerido?
¿El responsable de cada información sigue los criterios determinados en la política de seguridad para asignar a cada información el nivel de seguridad requerido y es responsable de su documentación y aprobación formal?
¿El responsable de cada información en cada momento tiene en exclusiva la potestad de modificar el nivel de seguridad requerido, de acuerdo a la política de seguridad?
¿Existen procedimientos que describan en detalle la forma en que se ha de etiquetar y tratar la información? - APLICA SOLO EN NIVEL MEDIO
¿Se cifra la información con un nivel alto en confidencialidad tanto durante su almacenamiento como durante su transmisión? - APLICA SOLO EN NIVEL ALTO
¿Permanece sólo en claro la información con un nivel alto en confidencialidad mientras se está haciendo uso de ella? - APLICA SOLO EN NIVEL ALTO
¿Dispone de una Política de Firma Electrónica aprobada por el órgano superior competente que corresponda?
¿Se firman electrónicamente los documentos que requieren capacidad probatoria según la ley de procedimiento administrativo común de las Administraciones Públicas?
En el caso de que se utilicen otros mecanismos de firma electrónica sujetos a derecho, ¿se incorporan medidas compensatorias suficientes que ofrezcan garantías equivalentes o superiores en lo relativo a prevención del repudio?
Si se emplean sistemas de firma electrónica avanzada, ¿se emplean certificados cualificados? - APLICA SOLO EN NIVEL MEDIO
¿Se emplean preferentemente certificados reconocidos? - APLICA SOLO EN NIVEL MEDIO
¿Se emplean algoritmos acreditados por el CCN? - APLICA SOLO EN NIVEL MEDIO
¿Se garantiza la verificación y validación de la firma electrónica durante el tiempo requerido por la actividad administrativa que aquella soporte, sin perjuicio de que se pueda ampliar ese periodo de acuerdo con lo que establezca la política de firma electrónica y de certificados que sea de aplicación? - APLICA SOLO EN NIVEL MEDIO
¿Se emplean certificados cualificados? - APLICA SOLO EN NIVEL ALTO
¿Se emplean dispositivos cualificados de creación de firma? - APLICA SOLO EN NIVEL ALTO
¿Se emplean productos certificados? - APLICA SOLO EN NIVEL ALTO
¿Se aplican sellos de tiempo (fechado electrónico) a aquella información que sea susceptible de ser utilizada como evidencia en el futuro? - APLICA SOLO EN NIVEL ALTO
¿Los datos pertinentes para la verificación posterior de la fecha son tratados con la misma seguridad que la información fechada a efectos de disponibilidad, integridad y confidencialidad? - APLICA SOLO EN NIVEL ALTO
¿Se renuevan regularmente los sellos de tiempo hasta que la información protegida ya no sea requerida por el proceso administrativo al que da soporte? - APLICA SOLO EN NIVEL ALTO
¿Se utilizan productos certificados o servicios externos admitidos? - APLICA SOLO EN NIVEL ALTO
¿Existe un procedimiento para limpiar (retirar la información contenida en campos ocultos, meta-datos, comentarios o revisiones) todos los documentos que van a ser transferidos a otro dominio de seguridad, salvo cuando dicha información sea pertinente para el receptor del documento?
¿Realizan copias de respaldo que permitan recuperar datos perdidos accidental o intencionadamente con una antigüedad determinada?
Apartado 31 de 31.- MEDIDAS DE PROTECCIÓN - PROTECCIÓN DE LOS SERVICIOS
¿La información que se distribuye por medio de correo electrónico se protege, tanto en el cuerpo de los mensajes como en los anexos?
¿Se protege la información de encaminamiento de mensajes y establecimiento de conexiones?
¿Se protege a la organización frente a problemas que se materializan por medio del correo electrónico, como del correo no solicitado (spam)?
¿Se han establecido normas de uso del correo electrónico?
¿Se encuentran protegidos los subsistemas dedicados a la publicación de información frente a las amenazas que les son propias?
Cuando la información tenga algún tipo de control de acceso ¿se garantiza la imposibilidad de acceder a la información obviando la autenticación?
¿Se previenen intentos de escalado de privilegios?
¿Se realizan auditorías de seguridad y pruebas de penetración?
¿Se emplean certificados de autenticación de sitio web acordes a la normativa europea en la materia?
¿Se emplean certificados cualificados de autenticación de sitio web acordes a la normativa europea en la materia?
¿Se ha planificado y dotado al sistema de capacidad suficiente para atender a la carga prevista con holgura?
¿Se han desplegado tecnologías para prevenir los ataques conocidos de denegación de servicio (Denial of Service (DoS)?
¿Se ha establecido un sistema de detección de ataques de denegación de servicio?
¿Se ha establecido un procedimiento de reacción a los ataques, incluyendo la comunicación con el proveedor de comunicaciones?
¿Se impide el lanzamiento de ataques desde las propias instalaciones perjudicando a terceros?
¿Está garantizada la existencia y disponibilidad de medios alternativos para prestar los servicios en caso de indisponibilidad de los medios habituales?