ANEXO II Medidas de seguridad\4 Marco operacional [op]4 Marco operacional [op]\4.2 Control de acceso [op.acc]4.2 Control de acceso [op.acc]\4.2.5 Mecanismo de autenticación [op.acc.5]

4.2.5 Mecanismo de autenticación [op.acc.5]

dimensiones

I C A T

nivel

bajo

medio

alto

 

aplica

+

++

 

Los mecanismos de autenticación frente al sistema se adecuarán al nivel del sistema atendiendo a las consideraciones que siguen, pudiendo usarse los siguientes factores de autenticación:

        "algo que se sabe": contraseñas o claves concertadas.

        "algo que se tiene": componentes lógicos (tales como certificados software) o dispositivos físicos (en expresión inglesa, tokens).

        "algo que se es": elementos biométricos.

 

Los factores anteriores podrán utilizarse de manera aislada o combinarse para generar mecanismos de autenticación fuerte.

 

Las guías CCN-STIC desarrollarán los mecanismos concretos adecuados para cada nivel.

 

Las instancias del factor o los factores de autenticación que se utilicen en el sistema, se denominarán credenciales.

 

Antes de proporcionar las credenciales de autenticación a los usuarios, estos deberán haberse identificado y registrado de manera fidedigna ante el sistema o ante un proveedor de identidad electrónica reconocido por la Administración. Se contemplan varias posibilidades de registro de los usuarios:

        Mediante la presentación física del usuario y verificación de su identidad acorde a la legalidad vigente, ante un funcionario habilitado para ello.

        De forma telemática, mediante DNI electrónico o un certificado electrónico cualificado.

        De forma telemática, utilizando otros sistemas admitidos legalmente para la identificación de los ciudadanos de los contemplados en la normativa de aplicación.

 

Nivel BAJO

a)      Como principio general, se admitirá el uso de cualquier mecanismo de autenticación sustentado en un solo factor.

b)      En el caso de utilizarse como factor "algo que se sabe", se aplicarán reglas básicas de calidad de la misma.

c)      Se atenderá a la seguridad de las credenciales de forma que:

1.      Las credenciales se activarán una vez estén bajo el control efectivo del usuario.

2.      Las credenciales estarán bajo el control exclusivo del usuario.

3.      El usuario reconocerá que las ha recibido y que conoce y acepta las obligaciones que implica su tenencia, en particular, el deber de custodia diligente, protección de su confidencialidad e información inmediata en caso de pérdida.

4.      Las credenciales se cambiarán con una periodicidad marcada por la política de la organización, atendiendo a la categoría del sistema al que se accede.

5.      Las credenciales se retirarán y serán deshabilitadas cuando la entidad (persona, equipo o proceso) que autentican termina su relación con el sistema.

 

Nivel MEDIO

a)      Se exigirá el uso de al menos dos factores de autenticación.

b)      En el caso de utilización de "algo que se sabe" como factor de autenticación, se establecerán exigencias rigurosas de calidad y renovación.

c)      Las credenciales utilizadas deberán haber sido obtenidas tras un registro previo:

1.      Presencial.

2.      Telemático usando certificado electrónico cualificado.

3.      Telemático mediante una autenticación con una credencial electrónica obtenida tras un registro previo presencial o telemático usando certificado electrónico cualificado en dispositivo cualificado de creación de firma.

 

Nivel ALTO

a)      Las credenciales se suspenderán tras un periodo definido de no utilización.

b)      En el caso del uso de utilización de "algo que se tiene", se requerirá el uso de elementos criptográficos hardware usando algoritmos y parámetros acreditados por el Centro Criptológico Nacional.

c)      Las credenciales utilizadas deberán haber sido obtenidas tras un registro previo presencial o telemático usando certificado electrónico cualificado en dispositivo cualificado de creación de firma.

 

principio