1. Para la selección de las medidas de seguridad se seguirán los pasos siguientes:
    1. Identificación de los tipos de activos presentes.
    2. Determinación de las dimensiones de seguridad relevantes, teniendo en cuenta lo establecido en el anexo I.
    3. Determinación del nivel correspondiente a cada dimensión de seguridad, teniendo en cuenta lo establecido en el anexo I.
    4. Determinación de la categoría del sistema, según lo establecido en el Anexo I.
    5. Selección de las medidas de seguridad apropiadas de entre las contenidas en este Anexo, de acuerdo con las dimensiones de seguridad y sus niveles, y, para determinadas medidas de seguridad, de acuerdo con la categoría del sistema.
  2. A los efectos de facilitar el cumplimiento de lo dispuesto en este anexo, cuando en un sistema de información existan sistemas que requieran la aplicación de un nivel de medidas de seguridad diferente al del sistema principal, podrán segregarse de este último, siendo de aplicación en cada caso el nivel de medidas de seguridad correspondiente y siempre que puedan delimitarse la información y los servicios afectados.
  3. La relación de medidas seleccionadas se formalizará en un documento denominado Declaración de Aplicabilidad, firmado por el responsable de la seguridad del sistema.
  4. La correspondencia entre los niveles de seguridad exigidos en cada dimensión y las medidas de seguridad, es la que se indica en la tabla siguiente:
Dimensiones MEDIDAS DE SEGURIDAD
Afectadas B M A

org

Marco organizativo

categoría

aplica

=

=

org.1

Política de seguridad

categoría

aplica

=

=

org.2

Normativa de seguridad

categoría

aplica

=

=

org.3

Procedimientos de seguridad

categoría

aplica

=

=

org.4

Proceso de autorización

op

Marco operacional

op.pl

Planificación

categoría

n.a.

+

++

op.pl.1

Análisis de riesgos

categoría

aplica

=

=

op.pl.2

Arquitectura de seguridad

categoría

aplica

=

=

op.pl.3

Adquisición de nuevos componentes

D

n.a.

aplica

=

op.pl.4

Dimensionamiento / Gestión de capacidades

categoría

n.a.

n.a.

aplica

op.pl.5

Componentes certificados

op.acc

Control de acceso

A T

aplica

=

=

op.acc.1

Identificación

I C A T

aplica

=

=

op.acc.2

Requisitos de acceso

I C A T

n.a.

aplica

=

op.acc.3

Segregación de funciones y tareas

I C A T

aplica

=

=

op.acc.4

Proceso de gestión de derechos de acceso

I C A T

aplica

+

++

op.acc.5

Mecanismo de autenticación

I C A T

aplica

+

++

op.acc.6

Acceso local (local logon)

I C A T

aplica

+

=

op.acc.7

Acceso remoto (remote login)

op.exp

Explotación

categoría

aplica

=

=

op.exp.1

Inventario de activos

categoría

aplica

=

=

op.exp.2

Configuración de seguridad

categoría

n.a.

aplica

=

op.exp.3

Gestión de la configuración

categoría

aplica

=

=

op.exp.4

Mantenimiento

categoría

n.a.

aplica

=

op.exp.5

Gestión de cambios

categoría

aplica

=

=

op.exp.6

Protección frente a código dañino

categoría

n.a.

aplica

=

op.exp.7

Gestión de incidencias

T

n.a.

n.a.

aplica

op.exp.8

Registro de la actividad de los usuarios

categoría

n.a.

aplica

=

op.exp.9

Registro de la gestión de incidencias

T

n.a.

n.a.

aplica

op.exp.10

Protección de los registros de actividad

categoría

aplica

=

+

op.exp.11

Protección de claves criptográficas

op.ext

Servicios externos

categoría

n.a.

aplica

=

op.ext.1

Contratación y acuerdos de nivel de servicio

categoría

n.a.

aplica

=

op.ext.2

Gestión diaria

D

n.a.

n.a.

aplica

op.ext.9

Medios alternativos

op.cont

Continuidad del servicio

D

n.a.

aplica

=

op.cont.1

Análisis de impacto

D

n.a.

n.a.

aplica

op.cont.2

Plan de continuidad

D

n.a.

n.a.

aplica

op.cont.3

Pruebas periódicas

op.mon

Monitorización del sistema

categoría

n.a.

n.a.

aplica

op.mon.1

Detección de intrusión

categoría

n.a.

n.a.

aplica

op.mon.2

Sistema de métricas

mp

Medidas de protección

mp.if

Protección de las instalaciones e infraestructuras

categoría

aplica

=

=

mp.if.1

Áreas separadas y con control de acceso

categoría

aplica

=

=

mp.if.2

Identificación de las personas

categoría

aplica

=

=

mp.if.3

Acondicionamiento de los locales

D

aplica

+

=

mp.if.4

Energía eléctrica

D

aplica

=

=

mp.if.5

Protección frente a incendios

D

n.a.

aplica

=

mp.if.6

Protección frente a inundaciones

categoría

aplica

=

=

mp.if.7

Registro de entrada y salida de equipamiento

D

n.a.

n.a.

aplica

mp.if.9

Instalaciones alternativas

mp.per

Gestión del personal

categoría

n.a.

aplica

=

mp.per.1

Caracterización del puesto de trabajo

categoría

aplica

=

=

mp.per.2

Deberes y obligaciones

categoría

aplica

=

=

mp.per.3

Concienciación

categoría

aplica

=

=

mp.per.4

Formación

D

n.a.

n.a.

aplica

mp.per.9

Personal alternativo

mp.eq

Protección de los equipos

categoría

aplica

+

=

mp.eq.1

Puesto de trabajo despejado

A

n.a.

aplica

+

mp.eq.2

Bloqueo de puesto de trabajo

categoría

aplica

=

+

mp.eq.3

Protección de equipos portátiles

D

n.a.

aplica

=

mp.eq.9

Medios alternativos

mp.com

Protección de las comunicaciones

categoría

aplica

=

+

mp.com.1

Perímetro seguro

C

n.a.

aplica

+

mp.com.2

Protección de la confidencialidad

I A

aplica

+

++

mp.com.3

Protección de la autenticidad y de la integridad

categoría

n.a.

n.a.

aplica

mp.com.4

Segregación de redes

D

n.a.

n.a.

aplica

mp.com.9

Medios alternativos

mp.si

Protección de los soportes de información

C

aplica

=

=

mp.si.1

Etiquetado

I C

n.a.

aplica

+

mp.si.2

Criptografía

categoría

aplica

=

=

mp.si.3

Custodia

categoría

aplica

=

=

mp.si.4

Transporte

C

n.a.

aplica

=

mp.si.5

Borrado y destrucción

mp.sw

Protección de las aplicaciones informáticas

categoría

n.a.

aplica

=

mp.sw.1

Desarrollo

categoría

aplica

+

++

mp.sw.2

Aceptación y puesta en servicio

mp.info

Protección de la información

categoría

aplica

=

=

mp.info.1

Datos de carácter personal

C

aplica

+

=

mp.info.2

Calificación de la información

C

n.a.

n.a.

aplica

mp.info.3

Cifrado

I A

aplica

+

++

mp.info.4

Firma electrónica

T

n.a.

n.a.

aplica

mp.info.5

Sellos de tiempo

C

aplica

=

=

mp.info.6

Limpieza de documentos

D

n.a.

aplica

=

mp.info.9

Copias de seguridad (backup)

mp.s

Protección de los servicios

categoría

aplica

=

=

mp.s.1

Protección del correo electrónico

categoría

aplica

=

=

mp.s.2

Protección de servicios y aplicaciones web

D

n.a.

aplica

+

mp.s.8

Protección frente a la denegación de servicio

D

n.a.

n.a.

aplica

mp.s.9

Medios alternativos

En las tablas del presente Anexo se emplean las siguientes convenciones:

  1. Para indicar que una determinada medida de seguridad se debe aplicar a una o varias dimensiones de seguridad en algún nivel determinado se utiliza la voz «aplica».
  2. «n.a.» significa «no aplica».
  3. Para indicar que las exigencias de un nivel son iguales a los del nivel inferior se utiliza el signo «=».
  4. Para indicar el incremento de exigencias graduado en función de del nivel de la dimensión de seguridad, se utilizan los signos «+» y «++».
  5. Para indicar que una medida protege específicamente una cierta dimensión de seguridad, ésta se explicita mediante su inicial.