Ventanilla Electrónica

Transcripción

1 artículos 16, 19 y 23 del Esquema Nacional de Seguridad, regulado por Real Decreto 3/2010, de 8 Versión: v01r00 Fecha: 14/01/2013 Queda prohibido cualquier tipo de explotación y, en particular, la reproducción, distribución, comunicación pública y/o transformación, total o parcial, por cualquier medio, de este documento sin el previo consentimiento expreso y por escrito de la Junta de Andalucía.

2 HOJA DE CONTROL Título Entregable Nombre del Fichero F Autor artículos 16, 19 y 23 del Esquema Nacional de artículos 16, 19 y 23 del Esquema Nacional de VEA220E_AUD_ Auditoria_de_verificacion_ENS_v01r00 UTE Versión/Edición v01r00 Fecha Versión 14/01/2013 Aprobado por - Fecha Aprobación DD/MM/AAAA Nº Total Páginas 10 REGISTRO DE CAMBIOS Versión Causa del Cambio Responsable del Cambio Área Fecha del Cambio v01r00 Versión inicial UTE - 14/01/ CONTROL DE DISTRIBUCIÓN Nombre y Apellidos Cargo Área Manuel Perera Domínguez Jefe de Servicio Servicio de Coordinación de Administración Electrónica Francisco González Guillén Dirección del Proyecto Servicio de Coordinación de Administración Electrónica Nº Copias Pedro José Casanova Luis Jefe de Proyecto UTE VEA220E_AUD_ Auditoria_de_verificacion_ENS_v01r00.doc Página 2 de 10

3 ÍNDICE 1 INTRODUCCIÓN RESULTADO DE LA REVISIÓN ANÁLISIS DE LOS INCUMPLIMIENTOS CONCLUSIONES GLOSARIO BIBLIOGRAFÍA Y REFERENCIAS VEA220E_AUD_ Auditoria_de_verificacion_ENS_v01r00.doc Página 3 de 10

4 1 INTRODUCCIÓN El objetivo del presente documento es realizar una auditoría de verificación de lo dispuesto en los artículos 16, 19 y 23 del Esquema Nacional de Seguridad, regulado por el Real Decreto 3/2010, de 8 de enero: Artículo 16. Autorización y control de los accesos. El acceso al sistema de información deberá ser controlado y limitado a los usuarios, procesos, dispositivos y otros sistemas de información, debidamente autorizados, restringiendo el acceso a las funciones permitidas. Artículo 19. Seguridad por defecto. Los sistemas deben diseñarse y configurarse de forma que garanticen la seguridad por defecto: a) El sistema proporcionará la mínima funcionalidad requerida para que la organización sólo alcance sus objetivos, y no alcance ninguna otra funcionalidad adicional. b) Las funciones de operación, administración y registro de actividad serán las mínimas necesarias, y se asegurará que sólo son accesibles por las personas, o desde emplazamientos o equipos, autorizados, pudiendo exigirse en su caso restricciones de horario y puntos de acceso facultados. c) En un sistema de explotación se eliminarán o desactivarán, mediante el control de la configuración, las funciones que no sean de interés, sean innecesarias e, incluso, aquellas que sean inadecuadas al fin que se persigue. d) El uso ordinario del sistema ha de ser sencillo y seguro, de forma que una utilización insegura requiera de un acto consciente por parte del usuario. Artículo 23. Registro de actividad. Con la finalidad exclusiva de lograr el cumplimiento del objeto del presente real decreto, con plenas garantías del derecho al honor, a la intimidad personal y familiar y a la propia imagen de los afectados, y de acuerdo con la normativa sobre protección de datos personales, de función pública o laboral, y demás disposiciones que resulten de aplicación, se registrarán las actividades de los usuarios, reteniendo la información necesaria para monitorizar, analizar, investigar y documentar actividades indebidas o no autorizadas, permitiendo identificar en cada momento a la persona que actúa. El contenido del documento identifica los puntos de mejora asociados al cumplimiento de los artículos indicados y las recomendaciones adecuadas para su resolución. Finalmente se exponen la lista de próximas acciones a realizar en función del resultado de la auditoría realizada. VEA220E_AUD_ Auditoria_de_verificacion_ENS_v01r00.doc Página 4 de 10

5 2 RESULTADO DE LA REVISIÓN Indic icadores de e revisión ión de seguridad Código Descri cripción ción del Indic icador Cumple? Observ rvaciones Severidad ENS-16 Artículo 16. Autorización y control de los accesos Solo los usuarios autorizados pueden acceder al modulo de administración. El acceso a la se realiza mediante uso de certificado digital, cada entrega en borrador, documento o trámite presentado solo pueden visualizarlos los usuarios que figuren como interesados. ENS-19 Artículo 19. Seguridad por defecto La aplicación está diseñada para que su explotación se limite exclusivamente a las funcionalidades ofrecidas. Limita el acceso a la administración a personas autorizadas debiendo restringirse el acceso a equipos determinados mediante la configuración de reglas en los sistemas de red del organismo en el que se implante la aplicación. La aplicación solo proporciona a los usuarios funciones necesarias y debidamente securizadas. ENS-23 Artículo 23. Registro de actividad La aplicación implementa un control de acceso de usuarios a la, recabando la información pública contenida en el certificado digital del usuario (DNI, nombre, primer apellido, segundo apellido y correo electrónico). Los datos indicados permiten identificar la fecha de acceso de un usuario a la Ventanilla Electrónica, la creación y la modificación de una entrega. Alta Alta Alta VEA220E_AUD_ Auditoria_de_verificacion_ENS_v01r00.doc Página 5 de 10

6 En la tabla siguiente se muestra el total de incumplimientos, organizados por severidad: Severid idad Nº incum ncumpl plimi imiento tos Indicadores Alta 0 Media 0 Baja 0 No existe ningún incumplimiento por lo que se concluye que la aplicación cumple con lo dispuesto en los Seguridad, regulado por Real Decreto 3/2010, de 8 VEA220E_AUD_ Auditoria_de_verificacion_ENS_v01r00.doc Página 6 de 10

7 3 ANÁLISIS DE LOS INCUMPLIMIENTOS No se han detectado incumplimientos. VEA220E_AUD_ Auditoria_de_verificacion_ENS_v01r00.doc Página 7 de 10

8 4 CONCLUSIONES En este apartado se indican las próximas acciones a realizar en función de las comprobaciones realizadas en el punto anterior del documento. Puesto que no se han detectado incumplimientos no se deben realizar acciones de mejora sobre la aplicación. ENS-16: Artículo 16. Autorización y control de los accesos. La aplicación controla los accesos de cada usuario a la y solo permite el acceso a la zona de administración a usuarios autorizados. ENS-19: Artículo 19. Seguridad por defecto. a) La aplicación está diseñada para que su explotación se limite exclusivamente a las funcionalidades ofrecidas. b) La aplicación limita el acceso a la administración a personas autorizadas. c) La aplicación solo proporciona a los usuarios finales funciones necesarias y debidamente securizadas. d) Toda acción que pueda poner en riesgo la seguridad de la aplicación debe ser un acto consciente por parte de un usuario administrador del sistema. ENS-23: Artículo 23. Registro de actividad. Para poder realizar un seguimiento de las acciones realizadas por los usuarios sobre la aplicación, todo el modelo de datos dispone de campos de auditoría compuestos por los siguientes campos: CREADOR: Contiene el DNI del usuario que crea el registro en la tabla correspondiente del modelo de datos. F_CREACION: Indica la fecha y hora de creación de un registro en la tabla correspondiente del modelo de datos. MODIFICADOR: Contiene el DNI del último usuario que actualiza el registro en la tabla correspondiente del modelo de datos. F_MODIFICACION: Indica la fecha y hora de la última actualización realizada sobre el registro en la tabla correspondiente del modelo de datos. Se puede concluir que la aplicación ofrece un buen nivel de seguridad, garantizando el cumplimiento de los artículos 16, 19 y 23 del Esquema Nacional de VEA220E_AUD_ Auditoria_de_verificacion_ENS_v01r00.doc Página 8 de 10

9 5 GLOSARIO Término VEA ENS Descripción Esquema Nacional de Seguridad VEA220E_AUD_ Auditoria_de_verificacion_ENS_v01r00.doc Página 9 de 10

10 6 BIBLIOGRAFÍA Y REFERENCIAS Referencia Título Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica. Código ENS VEA220E_AUD_ Auditoria_de_verificacion_ENS_v01r00.doc Página 10 de 10