Versión comentada del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica. No dudes en añadir tus comentarios.
Las medidas de protección, se centrarán en proteger activos concretos, según su naturaleza, con el nivel requerido en cada dimensión de seguridad.
5.1 Protección de las instalaciones e infraestructuras [mp.if].
5.1.1 Áreas separadas y con control de acceso [mp.if.1].
dimensiones | Todas | ||
categoría | básica | media | alta |
aplica | = | = |
El equipamiento de instalará en áreas separadas específicas para su función.
Se controlarán los accesos a las áreas indicadas de forma que sólo se pueda acceder por las entradas previstas y vigiladas.
5.1.2 Identificación de las personas [mp.if.2].
dimensiones | Todas | ||
categoría | básica | media | alta |
aplica | = | = |
El mecanismo de control de acceso se atendrá a lo que se dispone a continuación:
- Se identificará a todas las personas que accedan a los locales donde hay equipamiento que forme parte del sistema de información.
- Se registrarán las entradas y salidas de personas.
5.1.3 Acondicionamiento de los locales [mp.if.3].
dimensiones | Todas | ||
categoría | básica | media | alta |
aplica | = | = |
Los locales donde se ubiquen los sistemas de información y sus componentes, dispondrán de elementos adecuados para el eficaz funcionamiento del equipamiento allí instalado. Y, en especial:
- Condiciones de temperatura y humedad.
- Protección frente a las amenazas identificadas en el análisis de riesgos.
- Protección del cableado frente a incidentes fortuitos o deliberados.
5.1.4 Energía eléctrica [mp.if.4].
dimensiones | D | ||
categoría | básica | media | alta |
aplica | + | = |
Nivel BAJO
Los locales donde se ubiquen los sistemas de información y sus componentes dispondrán de la energía eléctrica, y sus tomas correspondientes, necesaria para su funcionamiento, de forma que en los mismos:
- Se garantizará el suministro de potencia eléctrica.
- Se garantizará el correcto funcionamiento de las luces de emergencia.
Nivel MEDIO
Se garantizará el suministro eléctrico a los sistemas en caso de fallo del suministro general, garantizando el tiempo suficiente para una terminación ordenada de los procesos, salvaguardando la información.
5.1.5 Protección frente a incendios [mp.if.5].
dimensiones | D | ||
categoría | básica | media | alta |
aplica | = | = |
Los locales donde se ubiquen los sistemas de información y sus componentes se protegerán frente a incendios fortuitos o deliberados, aplicando al menos la normativa industrial pertinente.
5.1.6 Protección frente a inundaciones [mp.if.6].
dimensiones | D | ||
categoría | básica | media | alta |
no aplica | aplica | = |
Nivel MEDIO
Los locales donde se ubiquen los sistemas de información y sus componentes se protegerán frente a incidentes fortuitos o deliberados causados por el agua.
5.1.7 Registro de entrada y salida de equipamiento [mp.if.7].
dimensiones | Todas | ||
categoría | básica | media | alta |
aplica | = | = |
Se llevará un registro pormenorizado de toda entrada y salida de equipamiento, incluyendo la identificación de la persona que autoriza de movimiento.
5.1.8 Instalaciones alternativas [mp.if.9].
dimensiones | D | ||
categoría | básica | media | alta |
no aplica | no aplica | aplica |
Nivel ALTO
Se garantizará la existencia y disponibilidad de instalaciones alternativas para poder trabajar en caso de que las instalaciones habituales no estén disponibles. Las instalaciones alternativas disfrutarán de las mismas garantías de seguridad que las instalaciones habituales.
5.2 Gestión del personal [mp.per].
5.2.1 Caracterización del puesto de trabajo [mp.per.1].
dimensiones | Todas | ||
categoría | básica | media | alta |
no aplica | aplica | = |
Categoría MEDIA
Cada puesto de trabajo se caracterizará de la siguiente forma:
- Se definirán las responsabilidades relacionadas con cada puesto de trabajo en materia de seguridad. La definición se basará en el análisis de riesgos.
- Se definirán los requisitos que deben satisfacer las personas que vayan a ocupar el puesto de trabajo, en particular, en términos de confidencialidad.
- Dichos requisitos se tendrán en cuenta en la selección de la persona que vaya a ocupar dicho puesto, incluyendo la verificación de sus antecedentes laborales, formación y otras referencias.
5.2.2 Deberes y obligaciones [mp.per.2].
dimensiones | Todas | ||
categoría | básica | media | alta |
aplica | = | = |
- Se informará a cada persona que trabaje en el sistema, de los deberes y responsabilidades de su puesto de trabajo en materia de seguridad.
- Se especificarán las medidas disciplinarias a que haya lugar.
- Se cubrirá tanto el periodo durante el cual se desempeña el puesto, como las obligaciones en caso de término de la asignación, o traslado a otro puesto de trabajo.
- Se contemplará el deber de confidencialidad respecto de los datos a los que tenga acceso, tanto durante el periodo que estén adscritos al puesto de trabajo, como posteriormente a su terminación.
- En caso de personal contratado a través de un tercero:
- Se establecerán los deberes y obligaciones del personal.
- Se establecerán los deberes y obligaciones de cada parte.
- Se establecerá el procedimiento de resolución de incidentes relacionados con el incumplimiento de las obligaciones.
5.2.3 Concienciación [mp.per.3].
dimensiones | Todas | ||
categoría | básica | media | alta |
aplica | = | = |
Se realizarán las acciones necesarias para concienciar regularmente al personal acerca de su papel y responsabilidad para que la seguridad del sistema alcance los niveles exigidos.
En particular, se recordará regularmente:
- La normativa de seguridad relativa al buen uso de los sistemas.
- La identificación de incidentes, actividades o comportamientos sospechosos que deban ser reportados para su tratamiento por personal especializado.
- El procedimiento de reporte de incidentes de seguridad, sean reales o falsas alarmas.
5.2.4 Formación [mp.per.4].
dimensiones | Todas | ||
categoría | básica | media | alta |
aplica | = | = |
Se formará regularmente al personal en aquellas materias que requieran para el desempeño de sus funciones, en particular en lo relativo a:
- Configuración de sistemas.
- Detección y reacción a incidentes.
- Gestión de la información en cualquier soporte en el que se encuentre. Se cubrirán al menos las siguientes actividades: almacenamiento, transferencia, copias, distribución y destrucción.
5.2.5 Personal alternativo [mp.per.9].
dimensiones | D | ||
categoría | básica | media | alta |
no aplica | no aplica | aplica |
Nivel ALTO
Se garantizará a existencia y disponibilidad de otras personas que se puedan hacer cargo de las funciones en caso de indisponibilidad del personal habitual. El personal alternativo deberá estar sometido a las mismas garantías de seguridad que el personal habitual.
5.3 Protección de los equipos [mp.eq].
5.3.1 Puesto de trabajo despejado [mp.eq.1].
dimensiones | Todas | ||
categoría | básica | media | alta |
aplica | + | = |
Categoría BÁSICA
Se exigirá que los puestos de trabajo permanezcan despejados, sin más material encima de la mesa que el requerido para la actividad que se está realizando en cada momento
Categoría MEDIA
Este material se guardará en lugar cerrado cuando no se esté utilizando.
5.3.2 Bloqueo de puesto de trabajo [mp.eq.2].
dimensiones | A | ||
categoría | básica | media | alta |
no aplica | aplica | + |
Nivel MEDIO
El puesto de trabajo se bloqueará al cabo de un tiempo prudencial de inactividad, requiriendo una nueva autenticación del usuario para reanudar la actividad en curso.
Nivel ALTO
Pasado un cierto tiempo, superior al anterior, se cancelarán las sesiones abiertas desde dicho puesto de trabajo.
5.3.3 Protección de portátiles [mp.eq.3].
dimensiones | Todas | ||
categoría | básica | media | alta |
aplica | = | + |
Categoría BÁSICA
Los equipos que sean susceptibles de salir de las instalaciones de la organización y no puedan beneficiarse de la protección física correspondiente, con un riesgo manifiesto de pérdida o robo, serán protegidos adecuadamente.
Sin perjuicio de las medidas generales que les afecten, se adoptarán las siguientes:
- Se llevará un inventario de equipos portátiles junto con una identificación de la persona responsable del mismo y un control regular de que está positivamente bajo su control.
- Se establecerá un canal de comunicación para informar, al servicio de gestión de incidentes, de pérdidas o sustracciones.
- Cuando un equipo portátil se conecte remotamente a través de redes que no están bajo el estricto control de la organización, el ámbito de operación del servidor limitará la información y los servicios accesibles a los mínimos imprescindibles, requiriendo autorización previa de los responsables de la información y los servicios afectados. Este punto es de aplicación a conexiones a través de Internet y otras redes que no sean de confianza.
- Se evitará, en la medida de lo posible, que el equipo contenga claves de acceso remoto a la organización. Se considerarán claves de acceso remoto aquellas que sean capaces de habilitar un acceso a otros equipos de la organización, u otras de naturaleza análoga.
Categoría ALTA
- Se dotará al dispositivo de detectores de violación que permitan saber el equipo ha sido manipulado y activen los procedimientos previstos de gestión del incidente.
- La información de nivel alto almacenada en el disco se protegerá mediante cifrado.
5.3.4 Medios alternativos [mp.eq.9].
dimensiones | D | ||
categoría | básica | media | alta |
No aplica | aplica | = |
Se garantizará la existencia y disponibilidad de medios alternativos de tratamiento de la información para el caso de que fallen los medios habituales. Estos medios alternativos estarán sujetos a las mismas garantías de protección.
Igualmente, se establecerá un tiempo máximo para que los equipos alternativos entren en funcionamiento.
5.4 Protección de las comunicaciones [mp.com].
5.4.1 Perímetro seguro [mp.com.1].
dimensiones | Todas | ||
categoría | básica | media | alta |
aplica | = | + |
Categoría BÁSICA
Se dispondrá un sistema cortafuegos que separe la red interna del exterior. Todo el tráfico deberá atravesar dicho cortafuegos que sólo dejara transitar los flujos previamente autorizados.
Categoría ALTA
- El sistema de cortafuegos constará de dos o más equipos de diferente fabricante dispuestos en cascada.
- Se dispondrán sistemas redundantes.
5.4.2 Protección de la confidencialidad [mp.com.2].
dimensiones | C | ||
categoría | básica | media | alta |
no aplica | aplica | + |
Nivel MEDIO
- Se emplearán redes privadas virtuales cuando la comunicación discurra por redes fuera del propio dominio de seguridad.
- Se emplearán algoritmos acreditados por el Centro Criptológico Nacional.
Nivel ALTO
- Se emplearán, preferentemente, dispositivos hardware en el establecimiento y utilización de la red privada virtual.
- Se emplearán productos certificados conforme a lo establecido en [op.pl.5].
5.4.3 Protección de la autenticidad y de la integridad [mp.com.3].
dimensiones | I A | ||
categoría | básica | media | alta |
aplica | + | ++ |
Nivel BAJO
- Se asegurará la autenticidad del otro extremo de un canal de comunicación antes de intercambiar información (ver [op.acc.5]).
- Se prevendrán ataques activos, garantizando que al menos serán detectados. y se activarán los procedimientos previstos de tratamiento del incidente Se considerarán ataques activos:
- La alteración de la información en tránsito.
- La inyección de información espuria.
- El secuestro de la sesión por una tercera parte.
- Se aceptará cualquier mecanismo de autenticación de los previstos en normativa de aplicación.
Nivel MEDIO
- Se emplearán redes privadas virtuales cuando la comunicación discurra por redes fuera del propio dominio de seguridad.
- Se emplearán algoritmos acreditados por el Centro Criptológico Nacional.
- Se aceptará cualquier mecanismo de autenticación de los previstos en la normativa de aplicación. En caso de uso de claves concertadas se aplicarán exigencias medias en cuanto a su calidad frente a ataques de adivinación, diccionario o fuerza bruta.
Nivel ALTO
- Se valorará positivamente el empleo de dispositivos hardware en el establecimiento y utilización de la red privada virtual.
- Se emplearán productos certificados conforme a lo establecido en [op.pl.5].
- Se aceptará cualquier mecanismo de autenticación de los previstos en normativa de aplicación. En caso de uso de claves concertadas se aplicarán exigencias altas en cuanto a su calidad frente a ataques de adivinación, diccionario o fuerza bruta.
5.4.4 Segregación de redes [mp.com.4].
dimensiones | Todas | ||
categoría | básica | media | alta |
no aplica | no aplica | aplica |
La segregación de redes acota el acceso a la información y, consiguientemente, la propagación de los incidentes de seguridad, que quedan restringidos al entorno donde ocurren.
Categoría ALTA
La red se segmentará en segmentos de forma que haya:
- Control de entrada de los usuarios que llegan a cada segmento.
- Control de salida de la información disponible en cada segmento.
- Las redes se pueden segmentar por dispositivos físicos o lógicos. El punto de interconexión estará particularmente asegurado, mantenido y monitorizado (como en [mp.com.1]).
5.4.5 Medios alternativos [mp.com.9].
dimensiones | D | ||
categoría | básica | media | alta |
no aplica | no aplica | aplica |
Nivel ALTO
Se garantizará la existencia y disponibilidad de medios alternativos de comunicación para el caso de que fallen los medios habituales. Los medios alternativos de comunicación:
- Estarán sujetos y proporcionar las mismas garantías de protección que el medio habitual.
- Garantizarán un tiempo máximo de entrada en funcionamiento.
5.5 Protección de los soportes de información [mp.si].
5.5.1 Etiquetado [mp.si.1].
dimensiones | C | ||
categoría | básica | media | alta |
aplica | = | = |
Los soportes de información se etiquetarán de forma que, sin revelar su contenido, se indique el nivel de seguridad de la información contenida de mayor calificación.
Los usuarios han de estar capacitados para entender el significado de las etiquetas, bien mediante simple inspección, bien mediante el recurso a un repositorio que lo explique.
5.5.2 Criptografía. [mp.si.2].
dimensiones | I C | ||
categoría | básica | media | alta |
no aplica | aplica | + |
Esta medida se aplica, en particular, a todos los dispositivos removibles. Se entenderán por dispositivos removibles, los CD, DVD, discos USB, u otros de naturaleza análoga.
Nivel MEDIO
Se aplicarán mecanismos criptográficos que garanticen la confidencialidad y la integridad de la información contenida.
Nivel ALTO
- Se emplearán algoritmos acreditados por el Centro Criptológico Nacional.
- Se emplearán productos certificados conforme a lo establecido en [op.pl.5].
5.5.3 Custodia [mp.si.3].
dimensiones | Todas | ||
categoría | básica | media | alta |
aplica | = | = |
Se aplicará la debida diligencia y control a los soportes de información que permanecen bajo la responsabilidad de la organización, mediante las siguientes actuaciones:
- Garantizando el control de acceso con medidas físicas ([mp.if.1] y [mp.if.7]) ó lógicas ([mp.si.2]), o ambas.
- Garantizando que se respetan las exigencias de mantenimiento del fabricante, en especial, en lo referente a temperatura, humedad y otros agresores medioambientales.
5.5.4 Transporte [mp.si.4].
dimensiones | Todas | ||
categoría | básica | media | alta |
aplica | = | = |
El responsable de sistemas garantizará que los dispositivos permanecen bajo control y que satisfacen sus requisitos de seguridad mientras están siendo desplazados de un lugar a otro.
Para ello:
- Se dispondrá de un registro de salida que identifique al transportista que recibe el soporte para su traslado.
- Se dispondrá de un registro de entrada que identifique al transportista que lo entrega.
- Se dispondrá de un procedimiento rutinario que coteje las salidas con las llegadas y levante las alarmas pertinentes cuando se detecte algún incidente.
- Se utilizarán los medios de protección criptográfica ([mp.si.2]) correspondientes al nivel de calificación de la información contenida de mayor nivel.
- Se gestionarán las claves según [op.exp.11].
5.5.5 Borrado y destrucción [mp.si.5].
dimensiones | D | ||
categoría | básica | media | alta |
no aplica | + | = |
La medida de borrado y destrucción de soportes de información se aplicará a todo tipo de equipos susceptibles de almacenar información, incluyendo medios electrónicos y no electrónicos.
Nivel BAJO
- Los soportes que vayan a ser reutilizados para otra información o liberados a otra organización serán objeto de un borrado seguro de su contenido.
Nivel MEDIO
- Se destruirán de forma segura los soportes, en los siguientes casos:
- Cuando la naturaleza del soporte no permita un borrado seguro.
- Cuando así lo requiera el procedimiento asociado al tipo de información contenida.
- Se emplearán productos certificados conforme a lo establecido en ([op. pl.5]).
5.6 Protección de las aplicaciones informáticas [mp.sw].
5.6.1 Desarrollo de aplicaciones [mp.sw.1].
dimensiones | Todas | ||
categoría | básica | media | alta |
no aplica | aplica | = |
Categoría MEDIA
- El desarrollo de aplicaciones se realizará sobre un sistema diferente y separado del de producción, no debiendo existir herramientas o datos de desarrollo en el entorno de producción.
- Se aplicará una metodología de desarrollo reconocida que:
- Tome en consideración los aspectos de seguridad a lo largo de todo el ciclo de vida.
- Trate específicamente los datos usados en pruebas.
- Permita la inspección del código fuente.
- Incluya normas de programación segura.
- Los siguientes elementos serán parte integral del diseño del sistema:
- Los mecanismos de identificación y autenticación.
- Los mecanismos de protección de la información tratada.
- La generación y tratamiento de pistas de auditoría.
- Las pruebas anteriores a la implantación o modificación de los sistemas de información no se realizarán con datos reales, salvo que se asegure el nivel de seguridad correspondiente.
5.6.2 Aceptación y puesta en servicio [mp.sw.2].
dimensiones | Todas | ||
categoría | básica | media | alta |
aplica | + | ++ |
Categoría BÁSICA
Antes de pasar a producción se comprobará el correcto funcionamiento de la aplicación.
- Se comprobará que:
- Se cumplen los criterios de aceptación en materia de seguridad.
- No se deteriora la seguridad de otros componentes del servicio.
- Las pruebas se realizarán en un entorno aislado (pre-producción).
- Las pruebas de aceptación no se realizarán con datos reales, salvo que se asegure el nivel de seguridad correspondiente.
Categoría MEDIA
Se realizarán las siguientes inspecciones previas a la entrada en servicio:
- Análisis de vulnerabilidades.
- Pruebas de penetración.
Categoría ALTA
Se realizarán las siguientes inspecciones previas a la entrada en servicio:
- Análisis de coherencia en la integración en los procesos.
- Se considerará la oportunidad de realizar una auditoría de código fuente.
5.7 Protección de la información [mp.info].
5.7.1 Datos de carácter personal [mp.info.1].
dimensiones | Todas | ||
categoría | básica | media | alta |
aplica | = | = |
Cuando el sistema trate datos de carácter personal, se estará a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, y normas de desarrollo, sin perjuicio de cumplir, además, las medidas establecidas por este real decreto.
Lo indicado en el párrafo anterior también se aplicará, cuando una disposición con rango de ley se remita a las normas sobre datos de carácter personal en la protección de información.
5.7.2 Calificación de la información [mp.info.2].
dimensiones | C | ||
categoría | básica | media | alta |
aplica | + | = |
Nivel BAJO
- Para calificar la información se estará a lo establecido legalmente sobre la naturaleza de la misma.
- La política de seguridad establecerá quién es el responsable de cada información manejada por el sistema.
- La política de seguridad recogerá, directa o indirectamente, los criterios que, en cada organización, determinarán el nivel de seguridad requerido, dentro del marco establecido en el artículo 43 y los criterios generales prescritos en el Anexo I.
- El responsable de cada información seguirá los criterios determinados en el apartado anterior para asignar a cada información el nivel de seguridad requerido, y será responsable de su documentación y aprobación formal.
- El responsable de cada información en cada momento tendrá en exclusiva la potestad de modificar el nivel de seguridad requerido, de acuerdo a los apartados anteriores.
Nivel MEDIO
Se redactarán los procedimientos necesarios que describan, en detalle, la forma en que se ha de etiquetar y tratar la información en consideración al nivel de seguridad que requiere; y precisando cómo se ha de realizar:
- Su control de acceso.
- Su almacenamiento.
- La realización de copias.
- El etiquetado de soportes.
- Su transmisión telemática.
- Y cualquier otra actividad relacionada con dicha información.
5.7.3 Cifrado de la información [mp.info.3].
dimensiones | C | ||
categoría | básica | media | alta |
no aplica | no aplica | aplica |
Nivel ALTO
Para el cifrado de información se estará a lo que se indica a continuación:
- La información con un nivel alto en confidencialidad se cifrará tanto durante su almacenamiento como durante su transmisión. Sólo estará en claro mientras se está haciendo uso de ella.
- Para el uso de criptografía en las comunicaciones, se estará a lo dispuesto en [mp.com.2].
- Para el uso de criptografía en los soportes de información, se estará a lo dispuesto en [mp.si.2].
5.7.4 Firma electrónica [mp.info.4].
dimensiones | I A | ||
categoría | básica | media | alta |
aplica | + | ++ |
Se empleará la firma electrónica como un instrumento capaz de permitir la comprobación de la autenticidad de la procedencia y la integridad de la información ofreciendo las bases para evitar el repudio.
La integridad y la autenticidad de los documentos se garantizarán por medio de firmas electrónicas con los condicionantes que se describen a continuación, proporcionados a los niveles de seguridad requeridos por el sistema.
En el caso de que se utilicen otros mecanismos de firma electrónica sujetos a derecho, el sistema debe incorporar medidas compensatorias suficientes que ofrezcan garantías equivalentes o superiores en lo relativo a prevención del repudio, usando el procedimiento previsto en el punto 5 del artículo 27.
Nivel BAJO
Se empleará cualquier tipo de firma electrónica de los previstos en la legislación vigente.
Nivel MEDIO
- Cuando se empleen sistemas de firma electrónica avanzada basados en certificados, estos serán cualificados.
- Se emplearán algoritmos y parámetros acreditados por el Centro Criptológico Nacional.
- Se garantizará la verificación y validación de la firma electrónica durante el tiempo requerido por la actividad administrativa que aquélla soporte, sin perjuicio de que se pueda ampliar este período de acuerdo con lo que establezca la Política de Firma Electrónica y de Certificados que sea de aplicación. Para tal fin:
- Se adjuntará a la firma, o se referenciará, toda la información pertinente para su verificación y validación:
- Certificados.
- Datos de verificación y validación.
- El organismo que recabe documentos firmados por el administrado verificará y validará la firma recibida en el momento de la recepción, anexando o referenciando sin ambigüedad la información descrita en los epígrafes 1 y 2 del apartado d).
- La firma electrónica de documentos por parte de la Administración anexará o referenciará sin ambigüedad la información descrita en los epígrafes 1 y 2.
Nivel ALTO
- Se usará firma electrónica cualificada, incorporando certificados cualificados y dispositivos cualificados de creación de firma.
- Se emplearán productos certificados conforme a lo establecido en [op.pl.5].
5.7.5 Sellos de tiempo [mp.info.5].
dimensiones | T | ||
categoría | básica | media | alta |
no aplica | no aplica | aplica |
Nivel ALTO
Los sellos de tiempo prevendrán la posibilidad del repudio posterior:
- Los sellos de tiempo se aplicarán a aquella información que sea susceptible de ser utilizada como evidencia electrónica en el futuro.
- Los datos pertinentes para la verificación posterior de la fecha serán tratados con la misma seguridad que la información fechada a efectos de disponibilidad, integridad y confidencialidad.
- Se renovarán regularmente los sellos de tiempo hasta que la información protegida ya no sea requerida por el proceso administrativo al que da soporte.
- Se utilizarán productos certificados (según [op.pl.5]) o servicios externos admitidos (véase [op.exp.10]).
- Se emplearán «sellos cualificados de tiempo electrónicos» acordes con la normativa europea en la materia.
5.7.6 Limpieza de documentos [mp.info.6].
dimensiones | C | ||
categoría | básica | media | alta |
aplica | = | = |
En el proceso de limpieza de documentos, se retirará de estos toda la información adicional contenida en campos ocultos, meta-datos, comentarios o revisiones anteriores, salvo cuando dicha información sea pertinente para el receptor del documento.
Esta medida es especialmente relevante cuando el documento se difunde ampliamente, como ocurre cuando se ofrece al público en un servidor web u otro tipo de repositorio de información.
Se tendrá presente que el incumplimiento de esta medida puede perjudicar:
- Al mantenimiento de la confidencialidad de información que no debería haberse revelado al receptor del documento.
- Al mantenimiento de la confidencialidad de las fuentes u orígenes de la información, que no debe conocer el receptor del documento.
- A la buena imagen de la organización que difunde el documento por cuanto demuestra un descuido en su buen hacer.
5.7.7 Copias de seguridad (backup) [mp.info.9].
dimensiones | D | ||
categoría | básica | media | alta |
aplica | = | = |
Se realizarán copias de seguridad que permitan recuperar datos perdidos, accidental o intencionadamente con una antigüedad determinada.
Estas copias poseerán el mismo nivel de seguridad que los datos originales en lo que se refiere a integridad, confidencialidad, autenticidad y trazabilidad. En particular, se considerará la conveniencia o necesidad, según proceda, de que las copias de seguridad estén cifradas para garantizar la confidencialidad.
Las copias de seguridad deberán abarcar:
- Información de trabajo de la organización.
- Aplicaciones en explotación, incluyendo los sistemas operativos.
- Datos de configuración, servicios, aplicaciones, equipos, u otros de naturaleza análoga.
- Claves utilizadas para preservar la confidencialidad de la información.
5.8 Protección de los servicios [mp.s].
5.8.1 Protección del correo electrónico (e-mail) [mp.s.1].
dimensiones | Todas | ||
categoría | básica | media | alta |
aplica | = | = |
El correo electrónico se protegerá frente a las amenazas que le son propias, actuando del siguiente modo:
- La información distribuida por medio de correo electrónico, se protegerá, tanto en el cuerpo de los mensajes, como en los anexos.
- Se protegerá la información de encaminamiento de mensajes y establecimiento de conexiones.
- Se protegerá a la organización frente a problemas que se materializan por medio del correo electrónico, en concreto:
- Correo no solicitado, en su expresión inglesa «spam».
- Programas dañinos, constituidos por virus, gusanos, troyanos, espías, u otros de naturaleza análoga.
- Código móvil de tipo «applet».
- Se establecerán normas de uso del correo electrónico por parte del personal determinado. Estas normas de uso contendrán:
- Limitaciones al uso como soporte de comunicaciones privadas.
- Actividades de concienciación y formación relativas al uso del correo electrónico.
5.8.2 Protección de servicios y aplicaciones web [mp.s.2].
dimensiones | Todas | ||
categoría | básica | media | alta |
aplica | = | + |
Los subsistemas dedicados a la publicación de información deberán ser protegidos frente a las amenazas que les son propias.
- Cuando la información tenga algún tipo de control de acceso, se garantizará la imposibilidad de acceder a la información obviando la autenticación, en particular tomando medidas en los siguientes aspectos:
- Se evitará que el servidor ofrezca acceso a los documentos por vías alternativas al protocolo determinado.
- Se prevendrán ataques de manipulación de URL.
- Se prevendrán ataques de manipulación de fragmentos de información que se almacena en el disco duro del visitante de una página web a través de su navegador, a petición del servidor de la página, conocido en terminología inglesa como «cookies».
- Se prevendrán ataques de inyección de código.
- Se prevendrán intentos de escalado de privilegios.
- Se prevendrán ataques de «cross site scripting».
- Se prevendrán ataques de manipulación de programas o dispositivos que realizan una acción en representación de otros, conocidos en terminología inglesa como «proxies» y, sistemas especiales de almacenamiento de alta velocidad, conocidos en terminología inglesa como «cachés».
Nivel BAJO
Se emplearán «certificados de autenticación de sitio web» acordes a la normativa europea en la materia.
Nivel ALTO
Se emplearán «certificados cualificados de autenticación del sitio web» acordes a la normativa europea en la materia.
5.8.3 Protección frente a la denegación de servicio [mp.s.8].
dimensiones | D | ||
categoría | básica | media | alta |
No aplica | aplica | + |
Nivel MEDIO
Se establecerán medidas preventivas y reactivas frente a ataques de denegación de servicio (DOS Denial of Service). Para ello:
- Se planificará y dotará al sistema de capacidad suficiente para atender a la carga prevista con holgura.
- Se desplegarán tecnologías para prevenir los ataques conocidos.
Nivel ALTO
- Se establecerá un sistema de detección de ataques de denegación de servicio.
- Se establecerán procedimientos de reacción a los ataques, incluyendo la comunicación con el proveedor de comunicaciones.
- Se impedirá el lanzamiento de ataques desde las propias instalaciones perjudicando a terceros.
5.8.4 Medios alternativos [mp.s.9].
dimensiones | D | ||
categoría | básica | media | alta |
no aplica | no aplica | aplica |
Nivel ALTO
Se garantizará la existencia y disponibilidad de medios alternativos para prestar los servicios en el caso de que fallen los medios habituales. Estos medios alternativos estarán sujetos a las mismas garantías de protección que los medios habituales.
Dejar un comentario
¿Quieres unirte a la conversación?Siéntete libre de contribuir!