1.  Para la selección de las medidas de seguridad se seguirán los pasos siguientes:
    1. Identificación de los tipos de activos presentes.
    2. Determinación de las dimensiones de seguridad relevantes, teniendo en cuenta lo establecido en el anexo I.
    3. Determinación del nivel correspondiente a cada dimensión de seguridad, teniendo en cuenta lo establecido en el anexo I.
    4. Determinación de la categoría del sistema, según lo establecido en el Anexo I.
    5. Selección de las medidas de seguridad apropiadas de entre las contenidas en este Anexo, de acuerdo con las dimensiones de seguridad y sus niveles, y, para determinadas medidas de seguridad, de acuerdo con la categoría del sistema.
  2. A los efectos de facilitar el cumplimiento de lo dispuesto en este anexo, cuando en un sistema de información existan sistemas que requieran la aplicación de un nivel de medidas de seguridad diferente al del sistema principal, podrán segregarse de este último, siendo de aplicación en cada caso el nivel de medidas de seguridad correspondiente y siempre que puedan delimitarse la información y los servicios afectados.
  3. La relación de medidas seleccionadas se formalizará en un documento denominado Declaración de Aplicabilidad, firmado por el responsable de la seguridad del sistema.
  4. La correspondencia entre los niveles de seguridad exigidos en cada dimensión y las medidas de seguridad, es la que se indica en la tabla siguiente:

Dimensiones Medidas de seguridad
Afectadas B M A
org Marco organizativo
categoría aplica = = org.1 Política de seguridad
categoría aplica = = org.2 Normativa de seguridad
categoría aplica = = org.3 Procedimientos de seguridad
categoría aplica = = org.4 Proceso de autorización
op Marco operacional
op.pl Planificación
categoría aplica + ++ op.pl.1 Análisis de riesgos
categoría aplica + ++ op.pl.2 Arquitectura de seguridad
categoría aplica = = op.pl.3 Adquisición de nuevos componentes
D n.a. aplica = op.pl.4 Dimensionamiento / Gestión de capacidades
categoría n.a. n.a. aplica op.pl.5 Componentes certificados
op.acc Control de acceso
A T aplica = = op.acc.1 Identificación
I C A T aplica = = op.acc.2 Requisitos de acceso
I C A T n.a. aplica = op.acc.3 Segregación de funciones y tareas
I C A T aplica = = op.acc.4 Proceso de gestión de derechos de acceso
I C A T aplica + ++ op.acc.5 Mecanismo de autenticación
I C A T aplica + ++ op.acc.6 Acceso local (local logon)
I C A T aplica + = op.acc.7 Acceso remoto (remote login)
op.exp Explotación
categoría aplica = = op.exp.1 Inventario de activos
categoría aplica = = op.exp.2 Configuración de seguridad
categoría n.a. aplica = op.exp.3 Gestión de la configuración
categoría aplica = = op.exp.4 Mantenimiento
categoría n.a. aplica = op.exp.5 Gestión de cambios
categoría aplica = = op.exp.6 Protección frente a código dañino
categoría n.a. aplica = op.exp.7 Gestión de incidencias
T aplica + ++ op.exp.8 Registro de la actividad de los usuarios
categoría n.a. aplica = op.exp.9 Registro de la gestión de incidencias
T n.a. n.a. aplica op.exp.10 Protección de los registros de actividad
categoría aplica + = op.exp.11 Protección de claves criptográficas
op.ext Servicios externos
categoría n.a. aplica = op.ext.1 Contratación y acuerdos de nivel de servicio
categoría n.a. aplica = op.ext.2 Gestión diaria
D n.a. n.a. aplica op.ext.9 Medios alternativos
op.cont Continuidad del servicio
D n.a. aplica = op.cont.1 Análisis de impacto
D n.a. n.a. aplica op.cont.2 Plan de continuidad
D n.a. n.a. aplica op.cont.3 Pruebas periódicas
op.mon Monitorización del sistema
categoría n.a. aplica = op.mon.1 Detección de intrusión
categoría n.a. n.a. aplica op.mon.2 Sistema de métricas
mp Medidas de protección
mp.if Protección de las instalaciones e infraestructuras
categoría aplica = = mp.if.1 Áreas separadas y con control de acceso
categoría aplica = = mp.if.2 Identificación de las personas
categoría aplica = = mp.if.3 Acondicionamiento de los locales
D aplica + = mp.if.4 Energía eléctrica
D aplica = = mp.if.5 Protección frente a incendios
D n.a. aplica = mp.if.6 Protección frente a inundaciones
categoría aplica = = mp.if.7 Registro de entrada y salida de equipamiento
D n.a. n.a. aplica mp.if.9 Instalaciones alternativas
mp.per Gestión del personal
categoría n.a. aplica = mp.per.1 Caracterización del puesto de trabajo
categoría aplica = = mp.per.2 Deberes y obligaciones
categoría aplica = = mp.per.3 Concienciación
categoría aplica = = mp.per.4 Formación
D n.a. n.a. aplica mp.per.9 Personal alternativo
mp.eq Protección de los equipos
categoría aplica + = mp.eq.1 Puesto de trabajo despejado
A n.a. aplica + mp.eq.2 Bloqueo de puesto de trabajo
categoría aplica = + mp.eq.3 Protección de equipos portátiles
D n.a. aplica = mp.eq.9 Medios alternativos
mp.com Protección de las comunicaciones
categoría aplica = + mp.com.1 Perímetro seguro
C n.a. aplica + mp.com.2 Protección de la confidencialidad
I A aplica + ++ mp.com.3 Protección de la autenticidad y de la integridad
categoría n.a. n.a. aplica mp.com.4 Segregación de redes
D n.a. n.a. aplica mp.com.9 Medios alternativos
mp.si Protección de los soportes de información
C aplica = = mp.si.1 Etiquetado
I C n.a. aplica + mp.si.2 Criptografía
categoría aplica = = mp.si.3 Custodia
categoría aplica = = mp.si.4 Transporte
C aplica + = mp.si.5 Borrado y destrucción
mp.sw Protección de las aplicaciones informáticas
categoría n.a. aplica = mp.sw.1 Desarrollo
categoría aplica + ++ mp.sw.2 Aceptación y puesta en servicio
mp.info Protección de la información
categoría aplica = = mp.info.1 Datos de carácter personal
C aplica + = mp.info.2 Calificación de la información
C n.a. n.a. aplica mp.info.3 Cifrado
I A aplica + ++ mp.info.4 Firma electrónica
T n.a. n.a. aplica mp.info.5 Sellos de tiempo
C aplica = = mp.info.6 Limpieza de documentos
D aplica = = mp.info.9 Copias de seguridad (backup)
mp.s Protección de los servicios
categoría aplica = = mp.s.1 Protección del correo electrónico
categoría aplica = + mp.s.2 Protección de servicios y aplicaciones web
D n.a. aplica + mp.s.8 Protección frente a la denegación de servicio
D n.a. n.a. aplica mp.s.9 Medios alternativos

En las tablas del presente Anexo se emplean las siguientes convenciones:

  1. Para indicar que una determinada medida de seguridad se debe aplicar a una o varias dimensiones de seguridad en algún nivel determinado se utiliza la voz «aplica».
  2. «n.a.» significa «no aplica».
  3. Para indicar que las exigencias de un nivel son iguales a los del nivel inferior se utiliza el signo «=».
  4. Para indicar el incremento de exigencias graduado en función de del nivel de la dimensión de seguridad, se utilizan los signos «+» y «++».
  5. Para indicar que una medida protege específicamente una cierta dimensión de seguridad, ésta se explicita mediante su inicial.
  6. En las tablas del presente anexo se han empleado colores verde, amarillo y rojo de la siguiente forma: el color verde para indicar que una cierta medida se aplica en sistemas de categoría BÁSICA o superior; el amarillo para indicar las medidas que empiezan a aplicarse en categoría MEDIA o superior; el rojo para indicar las medidas que sólo son de aplicación en categoría ALTA.
0 comentarios

Dejar un comentario

¿Quieres unirte a la conversación?
Siéntete libre de contribuir!

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *