PDF de programación - UTILIZACIÓN DE SERVICIOS EN LA NUBE - GUÍA DE SEGURIDAD DE LAS TIC

SIN CLASIFICAR



GUÍA DE SEGURIDAD DE LAS TIC

(CCN-STIC-823)

UTILIZACIÓN DE SERVICIOS EN LA NUBE



DICIEMBRE 2014

SIN CLASIFICAR

CCN-STIC-823

SIN CLASIFICAR



Servicios en la nube



Edita:


 Editor y Centro Criptológico Nacional, 2014



NIPO: 002-14-031-5

Fecha de Edición: diciembre de 2014

S2 Grupo ha elaborado el presente documento y sus anexos. El Sr. José Antonio Mañas ha
participado en la elaboración del presente documento y sus anexos

LIMITACIÓN DE RESPONSABILIDAD
El presente documento se proporciona de acuerdo con los términos en él recogidos, rechazando
expresamente cualquier tipo de garantía implícita que se pueda encontrar relacionada. En ningún
caso, el Centro Criptológico Nacional puede ser considerado responsable del daño directo,
indirecto, fortuito o extraordinario derivado de la utilización de la información y software que se
indican incluso cuando se advierta de tal posibilidad.



AVISO LEGAL
Quedan rigurosamente prohibidas, sin la autorización escrita del Centro Criptológico Nacional,
bajo las sanciones establecidas en las leyes, la reproducción parcial o total de este documento por
cualquier medio o procedimiento, comprendidos la reprografía y el tratamiento informático, y la
distribución de ejemplares del mismo mediante alquiler o préstamo públicos.

Centro Criptológico Nacional

2

SIN CLASIFICAR

CCN-STIC-823

SIN CLASIFICAR



PRÓLOGO

Servicios en la nube

El uso masivo de las tecnologías de la información y las telecomunicaciones (TIC), en todos los ámbitos
de la sociedad, ha creado un nuevo espacio, el ciberespacio, donde se producirán conflictos y agresiones,
y donde existen ciberamenazas que atentarán contra la seguridad nacional, el estado de derecho, la
prosperidad económica, el estado de bienestar y el normal funcionamiento de la sociedad y de las
administraciones públicas.

La Ley 11/2002, de 6 de mayo, reguladora del Centro Nacional de Inteligencia, encomienda al Centro
Nacional de Inteligencia el ejercicio de las funciones relativas a la seguridad de las tecnologías de la
información en su artículo 4.e), y de protección de la información clasificada en su artículo 4.f), a la vez
que confiere a su Secretario de Estado Director la responsabilidad de dirigir el Centro Criptológico
Nacional en su artículo 9.2.f).

Partiendo del conocimiento y la experiencia del CNI sobre amenazas y vulnerabilidades en materia de
riesgos emergentes, el Centro realiza, a través de su Centro Criptológico Nacional, regulado por el Real
Decreto 421/2004, de 12 de marzo, diversas actividades directamente relacionadas con la seguridad de las
TIC, orientadas a la formación de personal experto, a la aplicación de políticas y procedimientos de
seguridad, y al empleo de tecnologías de seguridad adecuadas.

Una de las funciones más destacables del Centro Criptológico Nacional es la de elaborar y difundir
normas, instrucciones, guías y recomendaciones para garantizar la seguridad de los sistemas de las
tecnologías de la información y las comunicaciones de la Administración, materializada en la existencia
de la serie de documentos CCN-STIC.

Disponer de un marco de referencia que establezca las condiciones necesarias de confianza en el uso de
los medios electrónicos es, además, uno de los principios que establece la ley 11/2007, de 22 de junio, de
acceso electrónico de los ciudadanos a los servicios públicos, en su artículo 42.2 sobre el Esquema
Nacional de Seguridad (ENS).

Precisamente el Real Decreto 3/2010 de 8 de Enero de desarrollo del Esquema Nacional de Seguridad fija
los principios básicos y requisitos mínimos así como las medidas de protección a implantar en los
sistemas de la Administración, y promueve la elaboración y difusión de guías de seguridad de las
tecnologías de la información y las comunicaciones por parte de CCN para facilitar un mejor
cumplimiento de dichos requisitos mínimos.

En definitiva, la serie de documentos CCN-STIC se elabora para dar cumplimiento a los cometidos del
Centro Criptológico Nacional y a lo reflejado en el Esquema Nacional de Seguridad, conscientes de la
importancia que tiene el establecimiento de un marco de referencia en esta materia que sirva de apoyo
para que el personal de la Administración lleve a cabo su difícil, y en ocasiones, ingrata tarea de
proporcionar seguridad a los sistemas de las TIC bajo su responsabilidad.


Diciembre de 2014

Félix Sanz Roldán
Secretario de Estado



Director del Centro Criptológico Nacional

Centro Criptológico Nacional

3

SIN CLASIFICAR

CCN-STIC-823

SIN CLASIFICAR



ÍNDICE

Servicios en la nube

1 INTRODUCCIÓN ........................................................................................................................ 5
1.1 CONCEPTOS PREVIOS ........................................................................................................ 5
1.2 CARACTERÍSTICAS DE LOS SERVICIOS EN LA NUBE ................................................ 6
1.3 MODELOS DE DESPLIEGUE............................................................................................... 7
1.4 CATEGORÍAS DE SERVICIO .............................................................................................. 7
1.5 ASPECTOS RELATIVOS A LA SEGURIDAD DE LA INFORMACIÓN .......................... 8

2 REQUISITOS DE SEGURIDAD ................................................................................................ 9
2.1 ROLES Y FUNCIONES ......................................................................................................... 9
2.2 CATEGORIZACIÓN (ENS - ANEXO I) ............................................................................. 10
2.2.1 COMUNIDADES ............................................................................................................. 10
2.3 RECOMENDACIONES ........................................................................................................ 11
2.4 MEDIDAS DE PROTECCIÓN (ENS - ANEXO II) ............................................................. 11
2.5 RESTRICCIONES ADICIONALES ..................................................................................... 11
2.5.1 COMUNIDAD BAJA ....................................................................................................... 12
2.5.2 COMUNIDAD MEDIA .................................................................................................... 12
2.5.3 COMUNIDAD ALTA ...................................................................................................... 12

3 REQUISITOS DERIVADOS DE LA EXISTENCIA DE DATOS DE CARÁCTER
PERSONAL .................................................................................................................................... 13

4 NORMATIVA INTERNA ......................................................................................................... 16

5 CONTRATACIÓN ..................................................................................................................... 17
5.1 DESCRIPCIÓN DEL SERVICIO ......................................................................................... 18
5.1.1 TIPO DE SERVICIO ........................................................................................................ 18
5.1.2 TIPO DE INFRAESTRUCTURA .................................................................................... 18
5.1.3 DIMENSIONADO DEL SERVICIO ............................................................................... 18
5.2 SUBCONTRATACIÓN ........................................................................................................ 19
5.3 PROTECCIÓN DE LA INFORMACIÓN ............................................................................ 19
5.4 ACUERDOS DE NIVEL DE SERVICIO ............................................................................. 20
5.5 ACCESO AL SERVICIO ...................................................................................................... 21
5.6 CONDICIONANTES GEOGRÁFICOS ............................................................................... 21
5.7 RESPONSABILIDADES Y OBLIGACIONES ................................................................... 21
5.8 REGISTRO DE ACTIVIDAD .............................................................................................. 22
5.9 FINALIZACIÓN DEL SERVICIO ....................................................................................... 22

6 OPERACIÓN ............................................................................................................................. 23
6.1 PROCEDIMIENTOS OPERATIVOS DE SEGURIDAD .................................................... 23
6.2 SEGUIMIENTO DEL SERVICIO ........................................................................................ 23
6.3 GESTIÓN DE CAMBIOS ..................................................................................................... 24
6.4 GESTIÓN DE INCIDENTES ............................................................................................... 25
6.5 RESPALDO Y RECUPERACIÓN DE DATOS ................................................................... 25
6.6 CONTINUIDAD DEL SERVICIO ....................................................................................... 25
6.7 FINALIZACIÓN ................................................................................................................... 26

7 SUPERVISIÓ