Versión comentada del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica. No dudes en añadir tus comentarios.
- Para la selección de las medidas de seguridad se seguirán los pasos siguientes:
- Identificación de los tipos de activos presentes.
- Determinación de las dimensiones de seguridad relevantes, teniendo en cuenta lo establecido en el anexo I.
- Determinación del nivel correspondiente a cada dimensión de seguridad, teniendo en cuenta lo establecido en el anexo I.
- Determinación de la categoría del sistema, según lo establecido en el Anexo I.
- Selección de las medidas de seguridad apropiadas de entre las contenidas en este Anexo, de acuerdo con las dimensiones de seguridad y sus niveles, y, para determinadas medidas de seguridad, de acuerdo con la categoría del sistema.
- A los efectos de facilitar el cumplimiento de lo dispuesto en este anexo, cuando en un sistema de información existan sistemas que requieran la aplicación de un nivel de medidas de seguridad diferente al del sistema principal, podrán segregarse de este último, siendo de aplicación en cada caso el nivel de medidas de seguridad correspondiente y siempre que puedan delimitarse la información y los servicios afectados.
- La relación de medidas seleccionadas se formalizará en un documento denominado Declaración de Aplicabilidad, firmado por el responsable de la seguridad del sistema.
- La correspondencia entre los niveles de seguridad exigidos en cada dimensión y las medidas de seguridad, es la que se indica en la tabla siguiente:
| Dimensiones | Medidas de seguridad | ||||
|---|---|---|---|---|---|
| Afectadas | B | M | A | ||
| org | Marco organizativo | ||||
| categoría | aplica | = | = | org.1 |
Política de seguridad |
| categoría | aplica | = | = | org.2 |
Normativa de seguridad |
| categoría | aplica | = | = | org.3 |
Procedimientos de seguridad |
| categoría | aplica | = | = | org.4 |
Proceso de autorización |
| op | Marco operacional | ||||
op.pl |
Planificación | ||||
| categoría | aplica | + | ++ | op.pl.1 |
Análisis de riesgos |
| categoría | aplica | + | ++ | op.pl.2 |
Arquitectura de seguridad |
| categoría | aplica | = | = | op.pl.3 |
Adquisición de nuevos componentes |
| D | n.a. | aplica | = | op.pl.4 |
Dimensionamiento / Gestión de capacidades |
| categoría | n.a. | n.a. | aplica | op.pl.5 |
Componentes certificados |
op.acc |
Control de acceso | ||||
| A T | aplica | = | = | op.acc.1 |
Identificación |
| I C A T | aplica | = | = | op.acc.2 |
Requisitos de acceso |
| I C A T | n.a. | aplica | = | op.acc.3 |
Segregación de funciones y tareas |
| I C A T | aplica | = | = | op.acc.4 |
Proceso de gestión de derechos de acceso |
| I C A T | aplica | + | ++ | op.acc.5 |
Mecanismo de autenticación |
| I C A T | aplica | + | ++ | op.acc.6 |
Acceso local (local logon) |
| I C A T | aplica | + | = | op.acc.7 |
Acceso remoto (remote login) |
op.exp |
Explotación | ||||
| categoría | aplica | = | = | op.exp.1 |
Inventario de activos |
| categoría | aplica | = | = | op.exp.2 |
Configuración de seguridad |
| categoría | n.a. | aplica | = | op.exp.3 |
Gestión de la configuración |
| categoría | aplica | = | = | op.exp.4 |
Mantenimiento |
| categoría | n.a. | aplica | = | op.exp.5 |
Gestión de cambios |
| categoría | aplica | = | = | op.exp.6 |
Protección frente a código dañino |
| categoría | n.a. | aplica | = | op.exp.7 |
Gestión de incidencias |
| T | aplica | + | ++ | op.exp.8 |
Registro de la actividad de los usuarios |
| categoría | n.a. | aplica | = | op.exp.9 |
Registro de la gestión de incidencias |
| T | n.a. | n.a. | aplica | op.exp.10 |
Protección de los registros de actividad |
| categoría | aplica | + | = | op.exp.11 |
Protección de claves criptográficas |
op.ext |
Servicios externos | ||||
| categoría | n.a. | aplica | = | op.ext.1 |
Contratación y acuerdos de nivel de servicio |
| categoría | n.a. | aplica | = | op.ext.2 |
Gestión diaria |
| D | n.a. | n.a. | aplica | op.ext.9 |
Medios alternativos |
op.cont |
Continuidad del servicio | ||||
| D | n.a. | aplica | = | op.cont.1 |
Análisis de impacto |
| D | n.a. | n.a. | aplica | op.cont.2 |
Plan de continuidad |
| D | n.a. | n.a. | aplica | op.cont.3 |
Pruebas periódicas |
op.mon |
Monitorización del sistema | ||||
| categoría | n.a. | aplica | = | op.mon.1 |
Detección de intrusión |
| categoría | n.a. | n.a. | aplica | op.mon.2 |
Sistema de métricas |
| mp | Medidas de protección | ||||
mp.if |
Protección de las instalaciones e infraestructuras | ||||
| categoría | aplica | = | = | mp.if.1 |
Áreas separadas y con control de acceso |
| categoría | aplica | = | = | mp.if.2 |
Identificación de las personas |
| categoría | aplica | = | = | mp.if.3 |
Acondicionamiento de los locales |
| D | aplica | + | = | mp.if.4 |
Energía eléctrica |
| D | aplica | = | = | mp.if.5 |
Protección frente a incendios |
| D | n.a. | aplica | = | mp.if.6 |
Protección frente a inundaciones |
| categoría | aplica | = | = | mp.if.7 |
Registro de entrada y salida de equipamiento |
| D | n.a. | n.a. | aplica | mp.if.9 |
Instalaciones alternativas |
mp.per |
Gestión del personal | ||||
| categoría | n.a. | aplica | = | mp.per.1 |
Caracterización del puesto de trabajo |
| categoría | aplica | = | = | mp.per.2 |
Deberes y obligaciones |
| categoría | aplica | = | = | mp.per.3 |
Concienciación |
| categoría | aplica | = | = | mp.per.4 |
Formación |
| D | n.a. | n.a. | aplica | mp.per.9 |
Personal alternativo |
mp.eq |
Protección de los equipos | ||||
| categoría | aplica | + | = | mp.eq.1 |
Puesto de trabajo despejado |
| A | n.a. | aplica | + | mp.eq.2 |
Bloqueo de puesto de trabajo |
| categoría | aplica | = | + | mp.eq.3 |
Protección de equipos portátiles |
| D | n.a. | aplica | = | mp.eq.9 |
Medios alternativos |
mp.com |
Protección de las comunicaciones | ||||
| categoría | aplica | = | + | mp.com.1 |
Perímetro seguro |
| C | n.a. | aplica | + | mp.com.2 |
Protección de la confidencialidad |
| I A | aplica | + | ++ | mp.com.3 |
Protección de la autenticidad y de la integridad |
| categoría | n.a. | n.a. | aplica | mp.com.4 |
Segregación de redes |
| D | n.a. | n.a. | aplica | mp.com.9 |
Medios alternativos |
mp.si |
Protección de los soportes de información | ||||
| C | aplica | = | = | mp.si.1 |
Etiquetado |
| I C | n.a. | aplica | + | mp.si.2 |
Criptografía |
| categoría | aplica | = | = | mp.si.3 |
Custodia |
| categoría | aplica | = | = | mp.si.4 |
Transporte |
| C | aplica | + | = | mp.si.5 |
Borrado y destrucción |
mp.sw |
Protección de las aplicaciones informáticas | ||||
| categoría | n.a. | aplica | = | mp.sw.1 |
Desarrollo |
| categoría | aplica | + | ++ | mp.sw.2 |
Aceptación y puesta en servicio |
mp.info |
Protección de la información | ||||
| categoría | aplica | = | = | mp.info.1 |
Datos de carácter personal |
| C | aplica | + | = | mp.info.2 |
Calificación de la información |
| C | n.a. | n.a. | aplica | mp.info.3 |
Cifrado |
| I A | aplica | + | ++ | mp.info.4 |
Firma electrónica |
| T | n.a. | n.a. | aplica | mp.info.5 |
Sellos de tiempo |
| C | aplica | = | = | mp.info.6 |
Limpieza de documentos |
| D | aplica | = | = | mp.info.9 |
Copias de seguridad (backup) |
mp.s |
Protección de los servicios | ||||
| categoría | aplica | = | = | mp.s.1 |
Protección del correo electrónico |
| categoría | aplica | = | + | mp.s.2 |
Protección de servicios y aplicaciones web |
| D | n.a. | aplica | + | mp.s.8 |
Protección frente a la denegación de servicio |
| D | n.a. | n.a. | aplica | mp.s.9 |
Medios alternativos |
En las tablas del presente Anexo se emplean las siguientes convenciones:
- Para indicar que una determinada medida de seguridad se debe aplicar a una o varias dimensiones de seguridad en algún nivel determinado se utiliza la voz «aplica».
- «n.a.» significa «no aplica».
- Para indicar que las exigencias de un nivel son iguales a los del nivel inferior se utiliza el signo «=».
- Para indicar el incremento de exigencias graduado en función de del nivel de la dimensión de seguridad, se utilizan los signos «+» y «++».
- Para indicar que una medida protege específicamente una cierta dimensión de seguridad, ésta se explicita mediante su inicial.
- En las tablas del presente anexo se han empleado colores verde, amarillo y rojo de la siguiente forma: el color verde para indicar que una cierta medida se aplica en sistemas de categoría BÁSICA o superior; el amarillo para indicar las medidas que empiezan a aplicarse en categoría MEDIA o superior; el rojo para indicar las medidas que sólo son de aplicación en categoría ALTA.
Dejar un comentario
¿Quieres unirte a la conversación?Siéntete libre de contribuir!