Documente Academic
Documente Profesional
Documente Cultură
GUA DE SEGURIDAD
(CCN-STIC-800)
ESQUEMA NACIONAL DE SEGURIDAD
GLOSARIO DE TRMINOS
Y ABREVIATURAS
FEBRERO 2016
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-800
Edita:
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-800
PRLOGO
El uso masivo de las tecnologas de la informacin y las telecomunicaciones (TIC), en todos los mbitos de
la sociedad, ha creado un nuevo espacio, el ciberespacio, donde se producirn conflictos y agresiones, y
donde existen ciberamenazas que atentarn contra la seguridad nacional, el estado de derecho, la
prosperidad econmica, el estado de bienestar y el normal funcionamiento de la sociedad y de las
administraciones pblicas.
La Ley 11/2002, de 6 de mayo, reguladora del Centro Nacional de Inteligencia, encomienda al Centro
Nacional de Inteligencia el ejercicio de las funciones relativas a la seguridad de las tecnologas de la
informacin en su artculo 4.e), y de proteccin de la informacin clasificada en su artculo 4.f), a la vez
que confiere a su Secretario de Estado Director la responsabilidad de dirigir el Centro Criptolgico
Nacional en su artculo 9.2.f).
Partiendo del conocimiento y la experiencia del CNI sobre amenazas y vulnerabilidades en materia de
riesgos emergentes, el Centro realiza, a travs de su Centro Criptolgico Nacional, regulado por el Real
Decreto 421/2004, de 12 de marzo, diversas actividades directamente relacionadas con la seguridad de las
TIC, orientadas a la formacin de personal experto, a la aplicacin de polticas y procedimientos de
seguridad, y al empleo de tecnologas de seguridad adecuadas.
Una de las funciones ms destacables del Centro Criptolgico Nacional es la de elaborar y difundir normas,
instrucciones, guas y recomendaciones para garantizar la seguridad de los sistemas de las tecnologas de la
informacin y las comunicaciones de la Administracin, materializada en la existencia de la serie de
documentos CCN-STIC.
Disponer de un marco de referencia que establezca las condiciones necesarias de confianza en el uso de los
medios electrnicos es, adems, uno de los principios que establece la ley 11/2007, de 22 de junio, de
acceso electrnico de los ciudadanos a los servicios pblicos, en su artculo 42.2 sobre el Esquema
Nacional de Seguridad (ENS).
Precisamente el Real Decreto 3/2010 de 8 de Enero de desarrollo del Esquema Nacional de Seguridad fija
los principios bsicos y requisitos mnimos as como las medidas de proteccin a implantar en los sistemas
de la Administracin, y promueve la elaboracin y difusin de guas de seguridad de las tecnologas de la
informacin y las comunicaciones por parte de CCN para facilitar un mejor cumplimiento de dichos
requisitos mnimos.
En definitiva, la serie de documentos CCN-STIC se elabora para dar cumplimiento a los cometidos del
Centro Criptolgico Nacional y a lo reflejado en el Esquema Nacional de Seguridad, conscientes de la
importancia que tiene el establecimiento de un marco de referencia en esta materia que sirva de apoyo para
que el personal de la Administracin lleve a cabo su difcil, y en ocasiones, ingrata tarea de proporcionar
seguridad a los sistemas de las TIC bajo su responsabilidad.
Febrero 2016
ii
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-800
NDICE
1.
TRMINOS........................................................................................................................................................7
1.1. ACTIVO .............................................................................................................................................................................. 7
1.2. ACREDITACIN ................................................................................................................................................................ 7
1.3. ADMINISTRADOR DE SEGURIDAD DEL SISTEMA (ASS) .............................................................................................. 7
1.4. ALCANCE DE LA AUDITORA .......................................................................................................................................... 7
1.5. AMENAZA ......................................................................................................................................................................... 7
1.6. AMENAZA PERSISTENTE AVANZADA (APT) ................................................................................................................ 7
1.7. ANLISIS O VALORACIN DE RIESGOS .......................................................................................................................... 8
1.8. AUDITOR ........................................................................................................................................................................... 8
1.9. CRITERIOS DE RIESGO..................................................................................................................................................... 8
1.10.
AUDITOR INTERNO ..................................................................................................................................................... 8
AUDITOR EXTERNO..................................................................................................................................................... 8
1.11.
1.12.
AUDITORIA................................................................................................................................................................... 8
AUDITORA DE LA SEGURIDAD .................................................................................................................................. 8
1.13.
1.14.
AUDITORA DE SISTEMAS DE INFORMACIN .......................................................................................................... 9
1.15.
AUTENTICIDAD ........................................................................................................................................................... 9
AUTORIDAD DE ACREDITACIN ................................................................................................................................ 9
1.16.
1.17.
AUTORIDAD DELEGADA DE ACREDITACIN ............................................................................................................ 9
ATAQUE POR FUERZA BRUTA O ATAQUE EXHAUSTIVO ......................................................................................... 9
1.18.
1.19.
CATEGORA DE UN SISTEMA ...................................................................................................................................... 9
CERTIFICACIN DE LA SEGURIDAD .......................................................................................................................... 9
1.20.
1.21.
CIBERINCIDENTE ........................................................................................................................................................ 9
CLOUD APPLICATION PORTABILITY ...................................................................................................................... 10
1.22.
1.23.
CLOUD AUDITOR ...................................................................................................................................................... 10
CLOUD CAPABILITIES TYPE .................................................................................................................................... 10
1.24.
1.25.
CLOUD COMPUTING ................................................................................................................................................. 10
CLOUD DATA PORTABILITY .................................................................................................................................... 10
1.26.
1.27.
CLOUD DEPLOYMENT MODEL ................................................................................................................................ 10
CLOUD SERVICE ........................................................................................................................................................ 10
1.28.
1.29.
CLOUD SERVICE CATEGORY .................................................................................................................................... 10
1.30.
CLOUD SERVICE CUSTOMER ................................................................................................................................... 10
CLOUD SERVICE CUSTOMER DATA......................................................................................................................... 11
1.31.
1.32.
CLOUD SERVICE PARTNER ...................................................................................................................................... 11
CLOUD SERVICE PROVIDER..................................................................................................................................... 11
1.33.
1.34.
CLOUD SERVICE PROVIDER DATA .......................................................................................................................... 11
CLOUD SERVICE USER .............................................................................................................................................. 11
1.35.
1.36.
CDIGO SEGURO DE VERIFICACIN (CSV) ............................................................................................................ 11
COMIT DE SEGURIDAD DE LA INFORMACIN ..................................................................................................... 11
1.37.
1.38.
COMIT STIC ............................................................................................................................................................. 11
COMMON CRITERIA ................................................................................................................................................. 12
1.39.
1.40.
COMMUNITY CLOUD ................................................................................................................................................ 12
COMPROBACIN....................................................................................................................................................... 12
1.41.
1.42.
COMPUTE AS A SERVICE (COMPAAS) .................................................................................................................... 12
CONEXIN ................................................................................................................................................................. 12
1.43.
1.44.
CONFIDENCIALIDAD ................................................................................................................................................ 12
1.45.
CONTROL / CONTROLES ......................................................................................................................................... 12
CORRELAR................................................................................................................................................................. 12
1.46.
1.47.
CORREO BASURA (SPAM) ....................................................................................................................................... 12
CRITERIOS COMUNES (COMMON CRITERIA) ........................................................................................................ 13
1.48.
1.49.
CRITERIOS DE AUDITORA ...................................................................................................................................... 13
CUADRO DE MANDO................................................................................................................................................. 13
1.50.
iii
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-800
1.51.
1.52.
1.53.
1.54.
1.55.
1.56.
1.57.
1.58.
1.59.
1.60.
1.61.
1.62.
1.63.
1.64.
1.65.
1.66.
1.67.
1.68.
1.69.
1.70.
1.71.
1.72.
1.73.
1.74.
1.75.
1.76.
1.77.
1.78.
1.79.
1.80.
1.81.
1.82.
1.83.
1.84.
1.85.
1.86.
1.87.
1.88.
1.89.
1.90.
1.91.
1.92.
1.93.
1.94.
1.95.
1.96.
1.97.
1.98.
1.99.
1.100.
1.101.
1.102.
1.103.
1.104.
CUMPLIMIENTO........................................................................................................................................................ 13
DATA PORTABILITY ................................................................................................................................................. 13
DATA STORAGE AS A SERVICE (DSAAS) ................................................................................................................ 13
DATOS........................................................................................................................................................................ 13
DATOS DE CARCTER PERSONAL .......................................................................................................................... 14
DECLARACIN DE REQUISITOS DE SEGURIDAD ................................................................................................... 14
DECLARACIN DE REQUISITOS DE SEGURIDAD DE LA INTERCONEXIN ......................................................... 14
DATOS DE CARCTER PERSONAL .......................................................................................................................... 14
DECLARACIN DE CONFORMIDAD ......................................................................................................................... 14
DENEGACIN [DISTRIBUIDA] DEL SERVICIO (DDOS) ......................................................................................... 14
DICTAMEN ................................................................................................................................................................ 14
DICTAMEN DE AUDITORA ...................................................................................................................................... 14
DISPONIBILIDAD ...................................................................................................................................................... 14
DISPOSITIVO DE PROTECCIN DE PERMETRO .................................................................................................... 14
EFECTIVIDAD / EFICACIA ....................................................................................................................................... 15
EFICIENCIA ............................................................................................................................................................... 15
ESCANER DE RED ..................................................................................................................................................... 15
EVIDENCIA DE AUDITORA ..................................................................................................................................... 15
DESFIGURACIN O DESFIGURAR (DEFACE O DEFACEMENT)............................................................................. 15
DISPONIBILIDAD ...................................................................................................................................................... 15
DUEO DEL RIESGO ................................................................................................................................................. 15
EVALUACIN DE LA SEGURIDAD ............................................................................................................................ 15
EVENTO ..................................................................................................................................................................... 16
EVENTO DE SEGURIDAD .......................................................................................................................................... 16
FALSIFICACIN DE PETICIN EN SITIOS CRUZADOS (CSRF /XSRF) .................................................................. 16
FIRMA ELECTRNICA .............................................................................................................................................. 16
GESTIN DE INCIDENTES ........................................................................................................................................ 16
GESTIN DE RIESGOS............................................................................................................................................... 16
GUSANO ..................................................................................................................................................................... 16
HYBRID CLOUD ......................................................................................................................................................... 17
IMPACTO ................................................................................................................................................................... 17
INCIDENTE DE SEGURIDAD ..................................................................................................................................... 17
INDICADOR ............................................................................................................................................................... 17
INFORMACIN .......................................................................................................................................................... 17
INFORME DE AUDITORA ........................................................................................................................................ 17
INFRASTRUCTURE AS A SERVICE (IAAS) .............................................................................................................. 17
INFRASTRUCTURE CAPABILITIES TYPE ................................................................................................................ 17
INGENIERA SOCIAL ................................................................................................................................................. 18
INTEGRIDAD ............................................................................................................................................................. 18
INTERCONEXIN ...................................................................................................................................................... 18
INYECCIN DE FICHEROS REMOTA ........................................................................................................................ 18
INYECCIN SQL (STRUCTURED QUERY LANGUAGE) ........................................................................................... 18
LIMITACIONES AL ALCANCE ................................................................................................................................... 18
MALWARE O CDIGO DAINO ................................................................................................................................ 19
MANEJAR INFORMACIN ........................................................................................................................................ 19
MEASURED SERVICE ................................................................................................................................................ 19
MEDICIN ................................................................................................................................................................. 19
MEDIDA ..................................................................................................................................................................... 19
MEDIDAS COMPENSATORIAS.................................................................................................................................. 19
MEDIDAS DE SEGURIDAD ........................................................................................................................................ 20
MTRICA ................................................................................................................................................................... 20
MNIMO PRIVILEGIO ................................................................................................................................................ 20
MULTI-TENANCY...................................................................................................................................................... 20
NECESIDAD DE CONOCER........................................................................................................................................ 20
iv
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-800
1.105.
1.106.
1.107.
1.108.
1.109.
1.110.
1.111.
1.112.
1.113.
1.114.
1.115.
1.116.
1.117.
1.118.
1.119.
1.120.
1.121.
1.122.
1.123.
1.124.
1.125.
1.126.
1.127.
1.128.
1.129.
1.130.
1.131.
1.132.
1.133.
1.134.
1.135.
1.136.
1.137.
1.138.
1.139.
1.140.
1.141.
1.142.
1.143.
1.144.
1.145.
1.146.
1.147.
1.148.
1.149.
1.150.
1.151.
1.152.
1.153.
1.154.
1.155.
1.156.
1.157.
1.158.
OBJETIVIDAD ............................................................................................................................................................ 20
OBJETIVO DE LA AUDITORA .................................................................................................................................. 20
OBSERVACIN .......................................................................................................................................................... 21
OFUSCACIN ............................................................................................................................................................. 21
ON-DEMAND SELF-SERVICE ................................................................................................................................... 21
OPININ INDEPENDIENTE Y OBJETIVA ................................................................................................................. 21
PHARMING (FARM GRANJA) ............................................................................................................................... 21
PHISHING, SPEAR PHISHING ................................................................................................................................... 21
PLAN DE AUDITORA ............................................................................................................................................... 22
PLAN DE RESPUESTA A CIBERINCIDENTES........................................................................................................... 22
PLATFORM AS A SERVICE (PAAS) .......................................................................................................................... 22
PLATFORM CAPABILITIES TYPE ............................................................................................................................. 22
POLTICA DE FIRMA ELECTRNICA ....................................................................................................................... 22
POLTICA DE SEGURIDAD ........................................................................................................................................ 22
PRINCIPIOS BSICOS DE SEGURIDAD .................................................................................................................... 22
PRINCIPIOS DE SEGREGACIN DE FUNCIONES ..................................................................................................... 22
PRIVATE CLOUD ....................................................................................................................................................... 22
PROCEDIMIENTOS OPERATIVOS DE SEGURIDAD ................................................................................................. 23
PROCESO ................................................................................................................................................................... 23
PROCESO DE SEGURIDAD ........................................................................................................................................ 23
PRODUCTO DE SEGURIDAD TIC .............................................................................................................................. 23
PROGRAMAS ESPA .................................................................................................................................................. 23
PROGRAMA DE AUDITORA ..................................................................................................................................... 23
PROPIETARIO DEL RIESGO ...................................................................................................................................... 24
PROPIETARIO DEL SISTEMA ................................................................................................................................... 24
PRUEBAS DE AUDITORA......................................................................................................................................... 24
PRUEBAS DE CUMPLIMIENTO................................................................................................................................. 24
PRUEBAS SUSTANTIVAS .......................................................................................................................................... 24
PUBLIC CLOUD .......................................................................................................................................................... 24
PUERTO SEGURO (SAFE HARBOR) ......................................................................................................................... 24
RANSOMWARE. ........................................................................................................................................................ 24
RAT (REMOTE ACCESS TOOLS) .............................................................................................................................. 25
RECOMENDACIONES ................................................................................................................................................ 25
REQUISITO ................................................................................................................................................................ 25
REQUISITOS MNIMOS DE SEGURIDAD .................................................................................................................. 25
RESOURCE POOLING ................................................................................................................................................ 25
RESPONSABILIDAD .................................................................................................................................................. 25
RESPONSABLE DE LA INFORMACIN..................................................................................................................... 26
RESPONSABLE DE LA SEGURIDAD.......................................................................................................................... 26
RESPONSABLE DEL SERVICIO ................................................................................................................................. 26
RESPONSABLE DEL SISTEMA .................................................................................................................................. 26
REVERSIBILITY ......................................................................................................................................................... 26
RIESGO....................................................................................................................................................................... 26
ROOTKIT.................................................................................................................................................................... 26
SCANNER (SCANNING) ESCANER DE VULNERABILIDADES / ANLISIS DE SEGURIDAD DE LA RED ............ 27
SATISFACCIN DE AUDITORA ............................................................................................................................... 27
SALVAGUARDAS (CONTRAMEDIDAS).................................................................................................................... 27
SECUENCIA DE COMANDOS EN SITIOS CRUZADO (XSS) ...................................................................................... 27
SEGURIDAD DE LA INFORMACIN ......................................................................................................................... 27
SEGURIDAD DE LAS REDES Y DE LA INFORMACIN............................................................................................. 27
SEGURIDAD DE LOS SISTEMAS DE INFORMACIN ............................................................................................... 28
SEGURIDAD DE LAS TECNOLOGAS DE LA INFORMACIN Y LAS COMUNICACIONES ....................................... 28
SEGURIDAD POR DEFECTO...................................................................................................................................... 28
SELECCIN DE MUESTRAS ...................................................................................................................................... 28
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-800
2.
3.
1.159.
1.160.
1.161.
1.162.
1.163.
1.164.
1.165.
1.166.
1.167.
1.168.
1.169.
1.170.
1.171.
1.172.
1.173.
1.174.
1.175.
1.176.
1.177.
1.178.
1.179.
1.180.
1.181.
1.182.
1.183.
1.184.
ABREVIATURAS .......................................................................................................................................... 33
REFERENCIAS .............................................................................................................................................. 37
vi
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-800
1. TRMINOS
1.
1.1. ACTIVO
2.
1.2. ACREDITACIN
3.
5.
(en) Information System Security Officer. Individual assigned responsibility by the senior
agency information security officer, authorizing official, management official, or
information system owner for maintaining the appropriate operational security posture for
an information system or program. CNSS Inst. 4009, Adapted
Elementos a los que comprende la revisin de auditora: los sistemas que estarn en
revisin, el organismo responsable de estos sistemas, los elementos de la estructura
tecnolgica, personal vinculado a los elementos anteriores, periodos de tiempo. Dentro del
contexto de esta gua tiene una relacin directa con la Declaracin de Aplicabilidad.
1.5. AMENAZA
7.
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-800
10.
Proceso sistemtico para estimar la magnitud del riesgo sobre un Sistema (STIC 811)
1.8. AUDITOR
11.
El profesional con formacin y experiencia contrastable sobre las materias a auditar, que
rene las condiciones, adems de las de conocimientos y competencia, de actuar de forma
independiente. Realiza las tareas de auditora.
Pertenece a una unidad independiente dentro del organismo al que pertenecen los
elementos objeto de la auditora, con funciones y autoridad claramente definidas, que no
tiene responsabilidades operativas, directivas o de gestin de los procesos, sistemas o reas
auditados. Para favorecer su independencia esta unidad debe reportar al nivel jerrquico
ms alto dentro del organismo.
1.12. AUDITORIA
15.
Nota 1: Una auditora puede ser interna (de primera parte), o externa (de segunda o tercera
parte), y puede ser combinada (combinando dos o ms disciplinas).
Revisin y examen independientes de los registros y actividades del sistema para verificar
la idoneidad de los controles del sistema, asegurar que se cumplen la poltica de seguridad
y los procedimientos operativos establecidos, detectar las infracciones de la seguridad y
recomendar modificaciones apropiadas de los controles, de la poltica y de los
procedimientos. ENS.
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-800
18.
1.15. AUTENTICIDAD
19.
Propiedad o caracterstica consistente en que una entidad es quien dice ser o bien que
garantiza la fuente de la que proceden los datos. ENS.
1.21. CIBERINCIDENTE
25.
Accin desarrollada a travs del uso de redes de ordenadores u otros medios, que se
traducen en un efecto real o potencialmente adverso sobre un sistema de informacin y/o la
informacin que trata o los servicios que presta. STIC 401 GLOSARIO.
26.
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-800
los ataques a sistemas TIC, el fraude electrnico, el robo de identidad, el abuso del
Ciberespacio, etc. [ISDEFE-6:2009]
1.22. CLOUD APPLICATION PORTABILITY
27.
(en) Ability to migrate an application from one cloud service to another cloud service
[ISO/IEC 17788:2014]
(en) Cloud service partner with the responsibility to conduct an audit of the provision and
use of cloud services [ISO/IEC 17788:2014]
(en) Classification of the functionality provided by a cloud service to the cloud service
customer, based on resources used. NOTEThe cloud capabilities types are application
capabilities type, infrastructure capabilities type and platform capabilities type.[ISO/IEC
17788:2014]
(en) Paradigm for enabling network access to a scalable and elastic pool of shareable
physical or virtual resources with self-service provisioning and administration on-demand.
NOTE Examples of resources include servers, operating systems, networks, software,
applications, and storage equipment.[ISO/IEC 17788:2014]
(en) Data portability from one cloud service to another cloud service.[ISO/IEC
17788:2014]
(en) Way in which cloud computing can be organized based on the control and sharing of
physical or virtual resources NOTEThe cloud deployment models include community
loud, hybrid cloud, private cloud and public cloud.[ISO/IEC 17788:2014]
(en) One or more capabilities offered via cloud computing invoked using a defined
interface. [ISO/IEC 17788:2014]
(en) Group of cloud services that possess some common set of qualities. NOTEA cloud
service category can include capabilities from one or more cloud capabilities types.
[ISO/IEC 17788:2014]
(en) Party which is in a business relationship for the purpose of using cloud services.
NOTEA business relationship does not necessarily imply financial agreements. [ISO/IEC
17788:2014]
10
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-800
(en)Class of data objects under the control, by legal or other reasons, of the cloud service
customer that was in put to the cloud service, or resulted from exercising the capabilities of
the cloud service by or on behalf of the cloud service customer via the published interface
of the cloud service. NOTE 1 An example of legal controls is copyright. NOTE 2 It may be
that the cloud service contains or operates on data that is not cloud service customer data;
this might be data made available by the cloud service providers or obtained from another
source, or it might be publicly available data. However, any out put data produced by the
actions of the cloud service customer using the capabilities of the cloud service on this data
is likely to be cloud service customer data, following the general principles of copyright,
unless there are specific provisions in the cloud service agreement to the contrary.
[ISO/IEC 17788:2014]
(en) Party which is engaged in support of, or auxiliary to, activities of either the cloud
service provider or the cloud service customer , or both [ISO/IEC 17788:2014]
(en) Class of data objects, specific to the operation of the cloud service, under the control
of the cloud service provider NOTE Cloud service provider data includes but is not
limited to resource configuration and utilization information, cloud service specific virtual
machine, storage and network resource allocations, overall data centre configuration and
utilization, physical and virtual resource failure rates, operational costs and so on.[ISO/IEC
17788:2014]
(en) Natural person, or entity acting on their behalf, associated with a cloud service
customer that uses cloud services NOTE Examples of such entities include devices and
applications. [ISO/IEC 17788:2014]
11
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-800
(en) Cloud deployment model where cloud services exclusively support and are shared by
a specific collection of cloud service customers who have shared requirements and a
relationship with one another, and where resources are controlled by at least one member
of this collection. [ISO/IEC 17788:2014]
1.41. COMPROBACIN
46.
47.
2) Dentro del contexto de esta gua, son verificaciones de la realizacin de controles, del
establecimiento de medidas de seguridad, y de documentacin de polticas, entre otros,
dentro de los requerimientos establecidos por la norma de referencia en la auditora.
(en) Cloud service category in which the capabilities provided to the cloud service
customer are the provision and use of processing resources needed to deploy and run
software NOTETo run some software, capabilities other than processing resources may
be needed.[ISO/IEC 17788:2014]
1.43. CONEXIN
49.
Se produce una conexin, cuando se proveen los medios fsicos y lgicos de transmisin
adecuados (por ejemplo enlace satlite, fibra ptica, etc.) susceptibles de ser empleados
para el intercambio de informacin entre Sistemas.
1.44. CONFIDENCIALIDAD
50.
52.
53.
1.46. CORRELAR
54.
Correo electrnico no deseado que se enva aleatoriamente en procesos por lotes. Es una
extremadamente eficiente y barata forma de comercializar cualquier producto. La mayora
de usuarios estn expuestos a este correo basura que se confirma en encuestas que
12
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-800
muestran que ms del 50% de todos los emails son correos basura. No es una amenaza
directa, pero la cantidad de correos electrnicos (e-mails) generados y el tiempo que lleva a
las empresas y particulares relacionarlo y eliminarlo, representa un elemento molesto para
los usuarios de Internet.http://www.alerta-antivirus.es/seguridad/ver_pag.html?tema=S
1.48. CRITERIOS COMUNES (COMMON CRITERIA)
56.
58.
2) Dentro de una auditora, esta palabra se usa tambin para las razones o discernimientos
de los auditores para la confeccin del plan de auditora, o evaluar los resultados de las
pruebas realizadas.
60.
Scorecard. (1) A printed program or card enabling a spectator to identify players and
record the progress of a game or competition. (2) A small card used to record one's own
performance in sports such as golf.[Herrmann:2007]
1.51. CUMPLIMIENTO
61.
(en) Ability to easily transfer data from one system to another without being required to
reenter data. NOTE It is the ease of moving the data that is the essence here. This might
be achieved by the source system supplying the data in exactly the format that is accepted
by the target system. But even if the formats do not match, the transformation between
them may be simple and straightforward to achieve with commonly available tools. On the
other hand, a process of printing out the data and rekeying it for the target system could not
be described as "easy."[ISO/IEC 17788:2014]
65.
(en) Data. (1) Representations of information or objects, in any form. (2) The
representation of information in a manner suitable for the communication, interpretation,
storage, or processing. [Herrmann:2007]
13
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-800
1.61. DICTAMEN
72.
1.63. DISPONIBILIDAD
74.
Hardware y/o software, cuya finalidad es mediar en el trfico de entrada y salida en los
puntos de interconexin de los Sistemas.
14
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-800
77.
Eficacia. Grado en que se realizan las actividades planificadas y se alcanzan los resultados
planificados. [UNE-ISO/IEC 27000:2014]
1.66. EFICIENCIA
78.
Ataque sobre un servidor web como consecuencia del cual se cambia su apariencia. El
cambio de imagen puede ser a beneficio del atacante, o por mera propaganda (a beneficio
del atacante o para causar una situacin embarazosa al propietario de las pginas). STIC
401 GLOSARIO.
82.
1.70. DISPONIBILIDAD
83.
Persona o entidad que tiene la responsabilidad y la autoridad para gestionar los riesgos.
ISO Gua 73.
85.
(en) Risk owner. Person or entity with the accountability and authority to manage the
risk. ISO Guide 73.
15
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-800
Cross Site Request Forgery (CSRF /XSRF). Es un tipo de exploit o programa malicioso
que aprovecha un fallo o vulnerabilidad de un sitio web en el que comandos no autorizados
son transmitidos por un usuario en el cual el sitio web confa. Esta vulnerabilidad es
conocida tambin por otros nombres como XSRF, enlace hostil, ataque de un clic,
cabalgamiento de sesin, y ataque automtico.
Conjunto de datos en forma electrnica, consignados junto a otros o asociados con ellos,
que pueden ser utilizados como medio de identificacin del firmante. ENS.
Plan de accin para atender a los incidentes que se den. Adems de resolverlos debe
incorporar medidas de desempeo que permitan conocer la calidad del sistema de
proteccin y detectar tendencias antes de que se conviertan en grandes problemas. RD.
951/2015, de 23 de octubre ENS.
Actividades coordinadas para dirigir y controlar una organizacin con respecto a los
riesgos. ENS.
1.79. GUSANO
93.
Worm. Programa que est diseado para copiarse y propagarse por s mismo mediante
mecanismos de red. No realizan infecciones a otros programas o ficheros. [CCN-STIC430:2006]. Es un programa similar a un virus que se diferencia de ste en su forma de
realizar las infecciones. Mientras que los virus intentan infectar a otros programas
copindose dentro de ellos, los gusanos realizan copias de ellos mismos, infectan a otros
ordenadores y se propagan automticamente en una red independientemente de la accin
humana.http://www.alerta-antivirus.es/seguridad/ver_pag.html?tema=S
16
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-800
(en) cloud deployment model using at least two different cloud deployment models
[ISO/IEC 17788:2014]
1.81. IMPACTO
95.
1.83. INDICADOR
97.
98.
(en) Indicator. (1) An instrument used to monitor the operation or condition of an engind,
furnace, electrical network, reservoir, or other physical system; a meter or gauge. (2)
Chemistry. A chemical compound that changes color and structure when exposed to
certain conditions and is therefore useful for chemical tests. (3) Ecology: A plant or animal
whose existence in an area is strongly indicative of specific environmental conditions. (4)
Any of various statistical values that together provide an indication of the condition or
direction of the economy. [Herrmann:2007]
1.84. INFORMACIN
99.
17
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-800
18
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-800
120. (en) compensating security control. A management, operational, and/or technical control
(i.e., safeguard or countermeasure) employed by an organization in lieu of a recommended
19
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-800
security control in the low, moderate, or high baselines that provides equivalent or
comparable protection for an information system. [CNSSI_4009:2010]
20
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-800
131. 2) En el contexto de esta gua, llegar con concluir si se cumple con lo requeridos por las
normas de referencia.
1.107. OBSERVACIN
132. Ver pruebas de auditora.
1.108. OFUSCACIN
133. Proceso de ocultar o dificultar el acceso a la informacin mediante tcnicas de camuflaje,
encriptacin, compresin, etc.
1.109. ON-DEMAND SELF-SERVICE
134. (en) feature where a cloud service customer can provision computing capabilities, as
needed, automatically or with minimal interaction with the cloud service provider
[ISO/IEC 17788:2014
1.110. OPININ INDEPENDIENTE Y OBJETIVA
135. 1) Independiente: (DRAE) que no tiene dependencia, que no depende de otro.
136. 2) Objetiva: (DRAE) Perteneciente o relativo al objeto en s mismo, con independencia de
la propia manera de pensar o de sentir.
137. 3) La auditora de los sistemas de informacin deber ser lo suficientemente independiente
del rea que est siendo auditada para permitir completar de manera objetiva la auditora.
138. 4) El auditor debe juzgar y opinar sobre los resultados de la auditora, en funcin del
objetivo y alcance de la misma, libre de toda parcialidad o sesgo que pueda afectar de
forma negativa en los resultados de la auditora, y que pueda conducir a una interpretacin
errnea de los hechos identificados.
1.111. PHARMING (FARM GRANJA)
139. Deriva del trmino en ingls "farm" (granja ). Ataque informtico que consiste en
modificar o sustituir el archivo del servidor de nombres de dominio cambiando la direccin
IP (Internet Protocol) legtima de una entidad (comnmente una entidad bancaria) de
manera que en el momento en el que el usuario escribe el nombre de dominio de la entidad
en la barra de direcciones, el navegador redirigir automticamente al usuario a otra
direccin IP donde se aloja una web (pgina) falsa que suplantar la identidad legtima de
la entidad, obtenindose de forma ilcita las claves de acceso de los clientes la entidad.
http://www.inteco.es/glossary/Formacion/Glosario/
1.112. PHISHING, SPEAR PHISHING
140. Similar a fishing pescando. Spear phishing ("lanza"). Mtodo de ataque que busca
obtener informacin personal o confidencial de los usuarios por medio del engao o la
picaresca, recurriendo a la suplantacin de la identidad digital de una entidad de confianza
en el ciberespacio.
141. Delito informtico consistente en obtener informacin confidencial de forma fraudulenta y
haciendo uso de la ingeniera social.
21
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-800
22
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-800
23
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-800
24
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-800
25
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-800
26
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-800
191. Tipo de software malicioso que, al instalarse sin autorizacin, es capaz de pasar
desapercibido y tomar el control administrativo de un sistema informtico.
http://es.pcisecuritystandards.org
1.149. SCANNER (SCANNING) ESCANER DE VULNERABILIDADES / ANLISIS
DE SEGURIDAD DE LA RED
192. Escner de vulnerabilidades. Programa que analiza un sistema buscando vulnerabilidades.
Utiliza una base de datos de defectos conocidos y determina si el sistema bajo examen es
vulnerable o no.
193. Anlisis de seguridad de la red. Proceso mediante el cual se buscan vulnerabilidades en los
sistemas de una entidad de manera remota a travs del uso de herramientas manuales o
automatizadas. Anlisis de seguridad que incluyen la exploracin de sistemas internos y
externos, as como la generacin de informes sobre los servicios expuestos a la red. Los
anlisis pueden identificar vulnerabilidades en sistemas operativos, servicios y dispositivos
que pudieran utilizar personas malintencionadas. http://es.pcisecuritystandards.org
1.150. SATISFACCIN DE AUDITORA
194. 1) (DRAE) Satisfacer: Cumplir, llenar ciertos requisitos o exigencias.
195. 2) Dentro del contexto de la auditora, se refiere a que el programa o plan de auditora,
debe cumplir con los objetivos de auditora, y las tareas realizadas con ste.
1.151. SALVAGUARDAS (CONTRAMEDIDAS)
196. Procedimiento o mecanismo tecnolgico que reduce el riesgo.
1.152. SECUENCIA DE COMANDOS EN SITIOS CRUZADO (XSS)
197. Cross Site Scripting (XSS) Esta falla permite a un atacante introducir en el campo de un
formulario o cdigo embebido en una pgina, un "script" (perl, php, javascript, asp) que
tanto al almacenarse como al mostrarse en el navegador, puede provocar la ejecucin de un
cdigo no deseado. http://www.vsantivirus.com/vul-webcamxp.htm
1.153. SEGURIDAD DE LA INFORMACIN
198. Es la proteccin de la informacin y de los sistemas de informacin frente al acceso, uso,
divulgacin, alteracin, modificacin o destruccin no autorizadas, con el fin de
proporcionar confidencialidad, integridad y disponibilidad.
199. Information Security. The protection of information and information systems from
unauthorized access, use, disclosure, disruption, modification, or destruction in order to
provide confidentiality, integrity, and availability. [44 U.S.C., Sec. 3542]
1.154. SEGURIDAD DE LAS REDES Y DE LA INFORMACIN
200. Es la capacidad de las redes o de los sistemas de informacin de resistir, con un
determinado nivel de confianza, los accidentes o acciones ilcitas o malintencionadas que
comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos
almacenados o transmitidos y de los servicios que dichas redes y sistemas ofrecen o hacen
accesibles. ENS
27
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-800
28
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-800
29
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-800
utilizado tambin para determinar relaciones entre varios usuarios (conocer con qu
usuarios o sistemas se relaciona alguien en concreto). Los buenos Sniffers no se pueden
detectar, aunque la inmensa mayora, y debido a que estn demasiado relacionados con el
protocolo TCP/IP (Transmission Control Protocol), si pueden ser detectados con algunos
trucos. http://www.alerta-antivirus.es/seguridad/ver_pag.html?tema=S
1.168. SOFTWARE AS A SERVICE (SAAS)
216. (en) Cloud service category in which the cloud capabilities type provided to the cloud
service customer is an application capabilities type [ISO/IEC 17788:2014]
1.169. SPAM
217. Ver Correo basura.
1.170. SPEAR PHISHING
218. Spear (lanza) Phishing (fishing pescando) dirigido de forma que se maximiza la
probabilidad de que el sujeto objeto del ataque pique el anzuelo (suelen basarse en un
trabajo previo de ingeniera social sobre la vctima). Ver Phishing
1.171. SPOOFING
219. Ver suplantacin.
1.172. SPYWARE "SPY SOFTWARE"
220. Ver Programas espa.
1.173. SUFICIENCIA DE LAS EVIDENCIAS
221. Las evidencias que soportan una conclusin deben ser suficientes (bastantes), y relevantes
(significativos), para soportar las conclusiones y opinin del auditor.
1.174. SUPERVISIN
222. 1) (DRAE) Ejercer la inspeccin superior en trabajos realizados por otros.
223. 2) Las tareas del equipo de auditora deben ser supervisadas por el Jefe del equipo de
auditora para asegurar que se ha cumplido con el objetivo de la auditora dentro del
alcance previsto.
1.175. SUPLANTACIN
224. (En ingls Spoofing), Tcnica basada en la creacin de tramas TCP/IP( Transmission
Control Protocol / Internet Protocol) utilizando una direccin IP falseada; desde su
equipo, un atacante simula la identidad de otra mquina de la red (que previamente ha
obtenido por diversos mtodos) para conseguir acceso a recursos de un tercer sistema que
ha establecido algn tipo de confianza basada en el nombre o la direccin IP del anfitrin
suplantado
225. http://www.alerta-antivirus.es/seguridad/ver_pag.html?tema=S
226. Spoofing. En materia de seguridad de redes, el trmino spoofing es una tcnica de
suplantacin de identidad a travs de la Red, llevada a cabo por un intruso generalmente
Centro Criptolgico Nacional
30
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-800
con usos de cdigo daino (malware) o de investigacin. Los ataques de seguridad en las
redes a travs de tcnicas de spoofing ponen en riesgo la privacidad de los usuarios que
navegan por Internet, as como la integridad de sus datos. De acuerdo a la tecnologa
utilizada se pueden diferenciar varios tipos de spoofing:
IP spoofing: Consiste en la suplantacin de la direccin IP de origen de un paquete
TCP/IP por otra direccin IP a la cual se desea suplantar.
ARP spoofing: Es la suplantacin de identidad por falsificacin de tabla ARP. Las tablas
ARP (Address Resolution Protocol) son un protocolo de nivel de red que relaciona
una direccin de hardware con la direccin IP del ordenador. Por lo tanto, al falsear
la tabla ARP de la vctima, todo lo que sta enve, ser direccionado al atacante.
DNS spoofing: Es una suplantacin de identidad por nombre de dominio (Domain Name
System), la cual consiste en una relacin falsa entre IP y nombre de dominio.
Web spoofing: Con esta tcnica el atacante crea una falsa pgina web, muy similar a la
que suele utilizar el afectado con el objetivo de obtener informacin de dicha vctima
como contraseas, informacin personal, datos facilitados, pginas que visita con
frecuencia, perfil del usuario, etc.
Mail spoofing: Suplantacin de correo electrnico bien sea de personas o de entidades
con el objetivo de llevar a cabo envo masivo de phishing o spam.
http://www.inteco.es/glossary/Formacion/Glosario/Spoofing.
1.176. TENANT
227. (en) One or more cloud service users sharing access to a set of physical and virtual
resources [ISO/IEC 17788:2014]
1.177. TIMESTAMP O SELLADO DE TIEMPOS
228. Tcnica consistente en marcar con un sello la informacin. El sello identificar el
momento en el que se produjo dicha marca.
1.178. TIPO DE INFORMACIN
229. Una categora especfica de informacin (por ejemplo, datos de carcter personal, mdicos,
financieros, investigaciones, contratos, informacin delicada, ). Estos tipos los define
una organizacin y, en algunos casos, vienen definidos por alguna normativa de carcter
legal.
230. (en) Information type. A specific category of information (e.g., privacy, medical,
proprietary, financial, investigative, contractor sensitive, security management) defined by
an organization or in some instances, by a specific law, Executive Order, directive, policy,
or regulation. FIPS 199.
1.179. TRAZABILIDAD
231. Propiedad o caracterstica consistente en que las actuaciones de una entidad pueden ser
imputadas exclusivamente a dicha entidad. ENS.
1.180. TROYANO O CABALLO DE TROYA
232. Introduccin subrepticia en un medio no propicio, con el fin de lograr un determinado
objetivo. DRAE. Diccionario de la Lengua Espaola.
Centro Criptolgico Nacional
31
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-800
233. Caballo de Troya o troyano, es un cdigo daino con apariencia de un programa inofensivo
que al ejecutarlo brinda al atacante acceso remoto al equipo infectado, normalmente
instalando una puerta trasera (backdoor). CCN-CERT IA_09-15 Informe de Amenazas .
1.181. VERIFICACIN
234. Cualquiera de las acciones de auditora encaminadas a la comprobacin el cotejo, el
contraste y el examen de evidencias, registros y documentos.
1.182. VIRUS
235. Programa que est diseado para copiarse a s mismo con la intencin de infectar otros
programas o ficheros. [CCN-STIC-430:2006]
1.183. VULNERABILIDAD
236. Una debilidad que puede ser aprovechada por una amenaza. ENS
237. Error de programacin o diseo que permite explotar el sistema de una manera diferente a
la original.
1.184. ZONA DESMILITARIZADA
238. Demilitarized Zone o DMZ Se refiere a una zona o segmento de la red, con requisitos
especficos de seguridad, de tal manera que est aislada o protegida del resto de sistemas
y usuarios de la red. El nombre lo toma de las zonas reservadas entre las lneas de frontera
de dos pases, en las cuales no se permite presencia militar.
32
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-800
2.
ABREVIATURAS
AA
ACL
ADA
AEPD
AJAX
ANS
Autoridad de Acreditacin
Access Control List
Autoridad Delegada de Acreditacin
Agencia Espaola de Proteccin de Datos
Asynchronous JavaScript and XML
Acuerdo de Nivel de Servicio (en ingls, SLA)
ARCO
ASP
ASS
BD
BIA
BYOD
CA
CAPTCHA
CC
CCM
CCN
CCN-CERT
CERT
CIO
CIRC
CIRT
CISO
CLASP
CMS
CR
CSA
CSI
CSP
CSRF /XSRF
CSV
DDoS
DMZ
DNS
DoS
DPP
33
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-800
DRS
EAL
ENI
ENS
ERI
ESMTP
FAQ
FIPS
FIREWALL
GPG
HTML
IRT
ISO
ISSM
ISSO
J2EE
JSP
KRI
LAMP
LDAP
LF
LOPD
MAGERIT
MTA
HTTP
HTTPS
IaaS
IDPS
IDS
IIS
IMAP
IPS
MUA
NAT
OWASP
PaaS
PCAP
PGP
34
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-800
PHPBB
POP3
POS
PPT
QoS
RAT
RFI
RINFO
ROUTER
RPV
RSEG
RSERV
RSIS
RTO
SaaS
SDLC
SERT
SHTTP
SIEM
SLA
SMTP
SNMP
SOAP
SPAM
SPP
SQL
SSL
SSO
STIC
SWITCH
TCP/IP
TERENA
35
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-800
TIC
TLS
TRS
URI
URL
VLAN
VNC
VoIP
WAF
WASC
WASS
Webmail
WHID
XML
XSS
36
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-800
3. REFERENCIAS
2001/264/CE
Decisin del Consejo de 19 de marzo de 2001 por la que se adoptan las normas de
seguridad del Consejo.
CCN-STIC-201
Organizacin y Gestin para la Seguridad de las TIC
CCN-STIC-402
Organizacin y Gestin para la Seguridad de los Sistemas TIC. Diciembre 2006.
CCN-STIC-801
ENS - Responsables y Funciones. 2010.
CCN-STIC-201
Organizacin y Gestin para la Seguridad de las TIC
CCN-STIC-402
Organizacin y Gestin para la Seguridad de los Sistemas TIC. Diciembre 2006.
CCN-STIC-801
ENS - Responsables y Funciones. 2011.
CCN-STIC-802
ENS - Gua de Auditora. Junio 2010.
CCN-STIC-803
ENS - Valoracin de los Sistemas. 2011.
CCN-STIC-804
ENS - Gua de Implantacin. 2013.
CCN-STIC-805
ENS - Poltica de Seguridad. 2011.
CCN-STIC-806
ENS - Plan de Adecuacin. 2011.
CCN-STIC-807
ENS Criptologa de Empleo. 2015.
CCN-STIC-808
ENS Verificacin del cumplimiento de las medidas. 2011
CCN-STIC-809
ENS -Declaracin y certificacin de conformidad. 2015.
CCN-STIC-810
ENS - Gua de Creacin de un CERT/CSIRT. 2011.
Centro Criptolgico Nacional
37
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-800
CCN-STIC-811
ENS - Interconexin en el ENS. 2012.
CCN-STIC-812
ENS - Seguridad en entornos y aplicaciones Web. 2011.
CCN-STIC-813
ENS - Componentes Certificados en el ENS. 2012.
CCN-STIC-814
ENS - Seguridad en correo electrnico. 2011.
CCN-STIC-815
ENS - Mtricas e indicadores. 2014.
CCN-STIC-817
ENS - Gestin de ciberincidentes. 2015.
CCN-STIC-818
ENS - Herramientas de seguridad en el ENS. 2012.
CCN-STIC-823
ENS - Utilizacin de servicios en la nube. 2014.
CCN-STIC-825
ENS - Certificaciones 27001. 2013.
CNSS Inst. 4009
National Information Assurance (IA) Glossary. April 2010.
FIPS 200
Minimum Security Requirements for Federal Information and Information
Systems. March 2006.
ISO Guide 73
Risk management Vocabulary. 2009.
ISO/IEC 13335-1:2004
Information technology - Security techniques - Management of information and
communications technology security - Part 1: Concepts and models for
information and communications technology security management.
ISO/IEC 27000
Information technology Security techniques Information security
management system Overview and vocabulary. 2009.
ISO/IEC 27001
Information technology Security techniques Information security
management system Requirements. 2005.
ISO/IEC 27002
Information technology Security techniques Code of practice for
information security management. 2005.
Centro Criptolgico Nacional
38
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-800
ISO/IEC 27003
Information technology Security techniques Information security
management system implementation guidance. 2010.
ISO/IEC 27004
Information technology Security techniques Information security
management Measurement. 2009.
ISO/IEC 27005
Information technology Security techniques Information security risk
management. 2008.
ISO/IEC 27006
Information technology Security techniques Requirements for bodies
providing audit and certification of information security management systems.
2007.
Ley 11/2007
Ley 11/2007, de 22 de junio, de acceso electrnico de los ciudadanos a los
Servicios Pblicos.
Publicado en: BOE nmero 150 de 23/6/2007, pginas 27150 a 27166 (17 pgs.)
Ley 15/1999
Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter
Personal.
Publicado en: BOE nmero 298 de 14/12/1999, pginas 43088 a 43099 (12 pgs.)
Magerit
Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin.
Ministerio para las Administraciones Pblicas. Versin 3. 2012.
http://administracionelectronica.gob.es/ctt/magerit
OM 76/2002
Orden Ministerial nmero 76/2002, de 18 de abril, por la que se establece la
poltica de seguridad para la proteccin de la informacin del Ministerio de
Defensa almacenada, procesada o transmitida por sistemas de informacin y
telecomunicaciones. BOE de 29 de abril de 2002.
RD 1720/2007
Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento
de desarrollo de la Ley Orgnica 15/1999, de 13 de diciembre, de proteccin de
datos de carcter personal. BOE de 19 de enero de 2008.
RD 3/2010
Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de
Seguridad en el mbito de la Administracin Electrnica. BOE de 29 de enero de
2010, modificado por el Real Decreto 951/2015, de 23 de octubre.
39
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-800
RD 4/2010
Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de
Interoperabilidad en el mbito de la Administracin Electrnica. BOE de 29 de
enero de 2010.
SP 800-12
An Introduction to Computer Security: The NIST Handbook. Special Publication
800-12. October 1995.
SP 800-30
Risk Management Guide for Information Technology Systems. NIST Special
Publication 800-30. July 2002.
SP 800-53
Recommended Security Controls for Federal Information Systems and
Organizations. NIST Special Publication 800-53 Revision 3. August 2009.
SP 800-100
Information Security Handbook: A Guide for Managers. NIST Special Publication
800-100. October 2006.
40
SIN CLASIFICAR