ANEXO II Medidas de seguridad\2 Selección de medidas de seguridad

1. Para la selección de las medidas de seguridad se seguirán los pasos siguientes:

a)      Identificación de los tipos de activos presentes.

b)      Determinación de las dimensiones de seguridad relevantes, teniendo en cuenta lo establecido en el Anexo I.

c)      Determinación del nivel correspondiente a cada dimensión de seguridad, teniendo en cuenta lo establecido en el Anexo I.

d)      Determinación de la categoría del sistema, según lo establecido en el Anexo I.

e)      Selección de las medidas de seguridad apropiadas de entre las contenidas en este Anexo, de acuerdo con las dimensiones de seguridad y sus niveles, y, para determinadas medidas de seguridad, de acuerdo con la categoría del sistema.

 

2. A los efectos de facilitar el cumplimiento de lo dispuesto en este anexo, cuando en un sistema de información existan sistemas que requieran la aplicación de un nivel de medidas de seguridad diferente al del sistema principal, podrán segregarse de este último, siendo de aplicación en cada caso el nivel de medidas de seguridad correspondiente y siempre que puedan delimitarse la información y los servicios afectados.

 

3. La relación de medidas seleccionadas se formalizará en un documento denominado Declaración de Aplicabilidad, firmado por el responsable de la seguridad del sistema.

 

4. La correspondencia entre los niveles de seguridad exigidos en cada dimensión y las medidas de seguridad, es la que se indica en la tabla siguiente:

 

Dimensiones

MEDIDAS DE SEGURIDAD

Afectadas

B

M

A

 

 

 

 

org

Marco organizativo

categoría

aplica

 =

 =

[org.1]

Política de seguridad

categoría

aplica

 =

 =

[org.2]

Normativa de seguridad

categoría

aplica

 =

 =

[org.3]

Procedimientos de seguridad

categoría

aplica

 =

 =

[org.4]

Proceso de autorización

 

 

 

 

 

 

 

 

 

 

op

Marco operacional

 

 

 

 

[op.pl]

Planificación

categoría

aplica

+

++

[op.pl.1]

Análisis de riesgos

categoría

aplica

+

++

[op.pl.2]

Arquitectura de seguridad

categoría

aplica

 =

 =

[op.pl.3]

Adquisición de nuevos componentes

D

n.a.

aplica

 =

[op.pl.4]

Dimensionamiento / Gestión de capacidades

categoría

n.a.

n.a.

aplica

[op.pl.5]

Componentes certificados

 

 

 

 

[op.acc]

Control de acceso

A T

aplica

 =

 =

[op.acc.1]

Identificación

I C A T

aplica

 =

 =

[op.acc.2]

Requisitos de acceso

I C A T

n.a.

aplica

 =

[op.acc.3]

Segregación de funciones y tareas

I C A T

aplica

 =

 =

[op.acc.4]

Proceso de gestión de derechos de acceso

I C A T

aplica

+

++

[op.acc.5]

Mecanismo de autenticación

I C A T

aplica

+

++

[op.acc.6]

Acceso local (local logon)

I C A T

aplica

+

=

[op.acc.7]

Acceso remoto (remote login)

 

 

 

 

[op.exp]

Explotación

categoría

aplica

 =

 =

[op.exp.1]

Inventario de activos

categoría

aplica

 =

 =

[op.exp.2]

Configuración de seguridad

categoría

n.a.

aplica

 =

[op.exp.3]

Gestión de la configuración

categoría

aplica

 =

 =

[op.exp.4]

Mantenimiento

categoría

n.a.

 aplica

 =

[op.exp.5]

Gestión de cambios

categoría

aplica

 =

 =

[op.exp.6]

Protección frente a código dañino

categoría

n.a.

aplica

 =

[op.exp.7]

Gestión de incidentes

T

aplica

+

++

[op.exp.8]

Registro de la actividad de los usuarios

categoría

n.a.

aplica

 =

[op.exp.9]

Registro de la gestión de incidentes

T

n.a.

n.a.

aplica

[op.exp.10]

Protección de los registros de actividad

categoría

aplica

 +

 =

[op.exp.11]

Protección de claves criptográficas

 

 

 

 

[op.ext]

Servicios externos

categoría

n.a.

aplica

 =

[op.ext.1]

Contratación y acuerdos de nivel de servicio

categoría

n.a.

aplica

 =

[op.ext.2]

Gestión diaria

D

n.a.

n.a.

aplica

[op.ext.9]

Medios alternativos

 

 

 

 

[op.cont]

Continuidad del servicio

D

n.a.

aplica

 =

[op.cont.1]

Análisis de impacto

D

n.a.

n.a.

aplica

[op.cont.2]

Plan de continuidad

D

n.a.

n.a.

aplica

[op.cont.3]

Pruebas periódicas

 

 

 

 

[op.mon]

Monitorización del sistema

categoría

n.a.

aplica

 =

[op.mon.1]

Detección de intrusión

categoría

aplica

+

++

[op.mon.2]

Sistema de métricas

 

 

 

 

 

 

 

 

 

 

mp

Medidas de protección

 

 

 

 

[mp.if]

Protección de las instalaciones e infraestructuras

categoría

aplica

 =

 =

[mp.if.1]

Áreas separadas y con control de acceso

categoría

aplica

 =

 =

[mp.if.2]

Identificación de las personas

categoría

aplica

 =

 =

[mp.if.3]

Acondicionamiento de los locales

D

aplica

 +

 =

[mp.if.4]

Energía eléctrica

D

aplica

 =

 =

[mp.if.5]

Protección frente a incendios

D

n.a.

aplica

 =

[mp.if.6]

Protección frente a inundaciones

categoría

aplica

 =

 =

[mp.if.7]

Registro de entrada y salida de equipamiento

D

n.a.

n.a.

aplica

[mp.if.9]

Instalaciones alternativas

 

 

 

 

[mp.per]

Gestión del personal

categoría

n.a.

aplica

 =

[mp.per.1]

Caracterización del puesto de trabajo

categoría

aplica

 =

 =

[mp.per.2]

Deberes y obligaciones

categoría

aplica

 =

 =

[mp.per.3]

Concienciación

categoría

aplica

 =

 =

[mp.per.4]

Formación

D

n.a.

n.a.

aplica

[mp.per.9]

Personal alternativo

 

 

 

 

[mp.eq]

Protección de los equipos

categoría

aplica

+

 =

[mp.eq.1]

Puesto de trabajo despejado

A

n.a.

aplica

 +

[mp.eq.2]

Bloqueo de puesto de trabajo

categoría

aplica

 =

+

[mp.eq.3]

Protección de equipos portátiles

D

n.a.

aplica

 =

[mp.eq.9]

Medios alternativos

 

 

 

 

[mp.com]

Protección de las comunicaciones

categoría

aplica

 =

+

[mp.com.1]

Perímetro seguro

C

n.a.

aplica

+

[mp.com.2]

Protección de la confidencialidad

I A

aplica

+

++

[mp.com.3]

Protección de la autenticidad y de la integridad

categoría

n.a.

n.a.

aplica

[mp.com.4]

Segregación de redes

D

n.a.

n.a.

aplica

[mp.com.9]

Medios alternativos

 

 

 

 

[mp.si]

Protección de los soportes de información

C

aplica

 =

 =

[mp.si.1]

Etiquetado

I C

n.a.

aplica

+

[mp.si.2]

Criptografía

categoría

aplica

 =

 =

[mp.si.3]

Custodia

categoría

aplica

 =

 =

[mp.si.4]

Transporte

C

aplica

+

 =

[mp.si.5]

Borrado y destrucción

 

 

 

 

[mp.sw]

Protección de las aplicaciones informáticas

categoría

n.a.

aplica

=

[mp.sw.1]

Desarrollo

categoría

aplica

+

++

[mp.sw.2]

Aceptación y puesta en servicio

 

 

 

 

[mp.info]

Protección de la información

categoría

aplica

 =

 =

[mp.info.1]

Datos de carácter personal

C

aplica

+

 =

[mp.info.2]

Calificación de la información

C

n.a.

n.a.

aplica

[mp.info.3]

Cifrado

I A

aplica

+

++

[mp.info.4]

Firma electrónica

T

n.a.

n.a.

aplica

[mp.info.5]

Sellos de tiempo

C

aplica

 =

 =

[mp.info.6]

Limpieza de documentos

D

aplica

 =

 =

[mp.info.9]

Copias de seguridad (backup)

 

 

 

 

[mp.s]

Protección de los servicios

categoría

aplica

 =

 =

[mp.s.1]

Protección del correo electrónico

categoría

aplica

 =

+

[mp.s.2]

Protección de servicios y aplicaciones web

D

n.a.

aplica

+

[mp.s.8]

Protección frente a la denegación de servicio

D

n.a.

n.a.

aplica

[mp.s.9]

Medios alternativos

 

En las tablas del presente Anexo se emplean las siguientes convenciones:

a)      Para indicar que una determinada medida de seguridad se debe aplicar a una o varias dimensiones de seguridad en algún nivel determinado se utiliza la voz ‘aplica’.

b)      ‘n.a.’ significa ‘no aplica’.

c)      Para indicar que las exigencias de un nivel son iguales a los del nivel inferior se utiliza el signo “=”.

d)      Para indicar el incremento de exigencias graduado en función de del nivel de la dimensión de seguridad, se utilizan los signos "+" y "++".

e)      Para indicar que una medida protege específicamente una cierta dimensión de seguridad, ésta se explicita mediante su inicial.

f)        En las tablas del presente anexo se han empleado colores verde, amarillo y rojo de la siguiente forma: el color verde para indicar que una cierta medida se aplica en sistemas de categoría BÁSICA o superior; el amarillo para indicar las medidas que empiezan a aplicarse en categoría MEDIA o superior; el rojo para indicar las medidas que sólo son de aplicación en categoría ALTA.

 

principio