SlideShare una empresa de Scribd logo

gvlogos-seg_reqs_medidas_seguridad_ens_tabla.pdf

M
MiguelngelOlombradaG

Medidas seguridad ENS

Software
1 de 9
Descargar para leer sin conexión
RESUMEN MEDIDAS SEGURIDAD SEGÚN ENS Seguridad Aplicada a los Sistema de Información (gvlogos-seg) DGTI - Servicio de Seguridad Versión 1.7 27/10/2021
Control del documento Título RESUMEN MEDIDAS SEGURIDAD SEGÚN ENS Ruta C:UsersJoseOneDrive - GENERALITAT10_TRABAJO50_GVLOGOS-SEG03_desarrollo Nombre archivo gvlogos-seg_reqs_medidas_seguridad_ens_tabla.odt Tipo Documento de trabajo Documento de referencia Clasificación Público Interno Restringido Confidencial Estado Borrador Aprobado Obsoleto Control de cambios Versión Responsable Organismo Descripción del cambio Fecha 1.0 José Alarcón DGTI-SSI Primera versión resumen de las medidas (SEGUR-17) 30/01/13 1.1 José Alarcón DGTI-SSI Revisión de formato 06/02/13 1.2 José Alarcón DGTI-SSEG Actualización de meta-datos y publicación 29/08/14 1.3 Mercedes Baroja DGTIC-SSEG Actualización ENS 20/06/16 1.4 José Alarcón DGTIC-SSEG Revisión para consolidar los cambios (GESEGUR-132) 07/09/16 1.5 Enrique Blat DGTIC-SSEG Corrección erratas 10/07/18 1.6 Jose Alarcón DGTIC-SSEG Adaptación a Word y repaso para SINDONE 04/06/20 1.7 Jose Alarcón DGTIC-SSEG Corrección en descripción de op.pl.5 27/10/21 Objetivo Se realiza una tabla con un resumen de las medidas de seguridad que se deben aplicar según el Esquema Nacional de Seguridad.
MEDIDAS DE SEGURIDAD Dimensiones Afectadas Nivel Categoría Bajo Medio Alto Básica Media Alta MARCO ORGANIZATIVO org usa Conjunto de medidas relacionadas con la organización global de la seguridad Política de seguridad org.1 Todas aplica = = Definición de una política de seguridad Normativa de seguridad org.2 Todas aplica = = Documentos: uso correcto equipos, servicios, instalaciones y las responsabilidades. Procedimientos de seguridad org.3 Todas aplica = = Documentos: procedimiento tareas habituales Proceso de autorización org.4 Todas aplica = = Proceso formal de autorizaciones: instalaciones, equipos producción, entradas a aplicaciones, enlaces con otros sistemas, medios de comunicación, soportes de información y equipos móviles, utilización de servicios de terceros. MARCO OPERACIONAL op Medidas a tomar para proteger la operación del sistema como conjunto integral de componentes para un fin PLANIFICACIÓN op.pl Análisis de riesgos op.pl.1 Todas aplica + ++ Análisis Informal. Análisis semiformal. Análisis Formal. Arquitectura de seguridad op.pl.2 Todas aplica + ++ Documentación de las instalaciones, documentación del sistema, esquema de líneas de defensa, sistema de identificación y autenticación de usuarios Sistema de gestión para planificar, organizar y controlar los recursos relativos a la seguridad. Sistema de gestión de seguridad de la información con actualización y aprobación periódica. Control técnico interno de datos de entrada y salida. Adquisición de nuevos componentes op.pl.3 op.pl.1 op.pl.2 Todas aplica = = Proceso formal de adquisición de nuevos componentes. Dimensionamiento / Gestión de capacidades op.pl.4 D n.a. aplica = Estudio previo a la puesta en explotación de necesidades de procesamiento, almacenamiento, comunicaciones, personal, instalaciones y medios auxiliares. Componentes certificados op.pl.5 Todas n.a. n.a. aplica Se utilizarán sistemas, productos o equipos cuyas funcionalidades de seguridad y su nivel hayan sido evaluados conforme a normas europeas o internacionales y cuyos certificados estén reconocidos por el Esquema Nacional de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información. CONTROL DE ACCESO op.acc op.acc.1 op.acc.2 op.acc.3 op.acc.4 op.acc.6 op.acc.7 mp.acc.5 op.exp.8 op.ext Conjunto de actividades preparatorias y ejecutivas para que una determinada entidad, usuario o proceso, pueda, o no, acceder a un recurso del sistema para realizar una determinada acción. Relación comodidad/seguridad: en sistemas de nivel Bajo, se primará la comodidad, en sistemas de nivel Alto se primará la protección. Se garantizará que nadie accederá a recursos sin autorización. Además, quedará registrado el uso del sistema. Cuando se interconecten sistemas las medidas de seguridad locales se acompañarán de los correspondientes acuerdos de colaboración que delimiten mecanismos y procedimientos para la atribución y ejercicio efectivos de las responsabilidades de cada sistema. Identificación op.acc.1 A T aplica = = Usuarios con diferentes roles, dispondrán de diferentes identificadores. Identificador singular para cada entidad (usuario o proceso) que accede al sistema y para cada rol. Cuentas de usuario se inhabilitan cuando el usuario cesa sus funciones. Se retienen para garantizar la trazabilidad. Reglamento 910/2014 del Parlamento Europeo sobre niveles de seguridad en la identificación electrónica. Requisitos de acceso op.acc.2 I C A T aplica = = No se permitirá la utilización de recursos del sistema salvo por quien tenga los derechos de acceso. Segregación de funciones y tareas op.acc.3 I C A T n.a. aplica = Se exigirá la concurrencia de dos o más personas para realizar determinadas tareas críticas. Como mínimo se separan las siguientes tareas: - desarrollo → operación - configuración y mantenimiento → operación - auditoría o supervisión → cualquier otra Proceso de gestión de derechos de acceso op.acc.4 I C A T aplica = = Los derechos de acceso se ciñeran a los principios de “mínimo privilegio de acceso” y “capacidad de autorizar de quien corresponda”.
MEDIDAS DE SEGURIDAD Dimensiones Afectadas Nivel Categoría Bajo Medio Alto Básica Media Alta Mecanismo de autenticación op.acc.5 op.pl.5 I C A T aplica + ++ Factores: - “algo que se sabe” claves concertadas - “algo que se tiene” dispositivos físicos (tokens), componentes lógicos (certificados) - “algo que se es” mecanismos biométricos. Ver guías CCN-STIC. Los factores pueden combinarse para generar mecanismos de autenticación fuerte. Un solo factor, reglas básicas de calidad en contraseñas y renovación periódica. Cinco controles en el proceso definido de gestión de credenciales. Dos factores. Si se usan contraseñas, política rigurosa de calidad contraseñas y renovación frecuente. Registro previo, presencial o telemático. Caducidad de credenciales tras tiempo sin uso. Contraseñas, tokens hardware o biometría. Productos certificados. Registro previo presencial o telemático con certificado cualificado. Resumen Nivel BAJO MEDIO ALTO algo que se sabe claves concertadas sí sí+doble factor sí+doble factor algo que se tiene Tokens sí Sí+ doble factor hardware algo que se es Biometría sí Sí + doble factor sí+doble factor Acceso local (local logon) op.acc.6 I C A T aplica + ++ Información mínima si no se accede al sistema, bloqueo de acceso si hay ciertos fallos consecutivos, registro de accesos fallidos y de éxito e información de las obligaciones. Se informa del último acceso. Acceso limitado por horas, fechas y lugares, y habrán puntos del sistema que requieren renovación de la autenticación. Acceso remoto (remote login) op.acc.7 op.acc.6 mp.com.2 mp.com.3 I C A T aplica + = Igual que op.acc.6 y también se debe proteger el canal de acceso remoto. Se debe establecer política de lo que puede hacerse remotamente, se requiere autorización positiva. EXPLOTACIÓN op.exp Inventario de activos op.exp.1 Todas aplica = = Inventario detallado de todos los elementos del sistema con su naturaleza y responsable. Configuración de seguridad op.exp.2 Todas aplica = = Previo a entrar en operación, se configuran los equipos retirando cuentas y contraseñas estándar, aplicando las reglas de “mínima funcionalidad” y “seguridad por defecto”. Gestión de la configuración op.exp.3 op.exp.2 op.exp.4 op.exp.7 op.acc.4 Todas n.a. aplica = Debe existir Gestión de la Configuración del sistema. Mantenimiento op.exp.4 Todas aplica = = Seguir especificaciones fabricantes (instalación y mantenimiento), seguimiento de defectos, mejoras, parches, actualizaciones, nuevas versiones. Gestión de cambios op.exp.5 Todas n.a. aplica = Gestión de los cambios del sistema y pruebas previas en entorno preproducción. Protección frente a código dañino op.exp.6 Todas aplica = = Mecanismos de prevención y reacción. Gestión de incidencias op.exp.7 Todas n.a. aplica = Procedimiento de Gestión de Incidencias de Seguridad Registro de la actividad de los usuarios op.exp.8 op.pl.1 T aplica + ++ Se activarán los registros de actividad Se revisarán informalmente los registros buscando patrones anormales. Se dispondrá de un sistema automático de recolección de registros y correlación de eventos, es decir, una consola de seguridad centralizada. Registro de la gestión de incidentes op.exp.9 Todas n.a. aplica = Registro de la Gestión de Incidentes
MEDIDAS DE SEGURIDAD Dimensiones Afectadas Nivel Categoría Bajo Medio Alto Básica Media Alta Protección de los registros de actividad op.exp.10 mp.info.5 T n.a. n.a. aplica Protección de los registros del sistema y de las copias de seguridad. Protección de claves criptográficas op.exp.11 Todas aplica + = Se protegen durante todo su ciclo de vida. Los medios de generación separados de los de explotación. Uso de programas o dispositivos certificados. SERVICIOS EXTERNOS op.ext Cuando se utilicen recursos externos a la organización, sean servicios, equipos, instalaciones o personal, deberá tenerse en cuenta que la delegación se limita a las funciones, la organización sigue siendo en todo momento responsable. Contratación y acuerdos de nivel de servicio op.ext.1 Todas n.a. aplica = Acuerdos de nivel de servicio Gestión diaria op.ext.2 op.ext.1 op.exp.7 Todas n.a. aplica = Sistema rutinario de medición de los acuerdos de nivel de servicio, Procedimiento para neutralizar desvíos de cumplimiento, Procedimiento de coordinación para tareas de mantenimiento y Procedimiento de Coordinación para gestión de incidentes. Medios alternativos op.ext.9 D n.a. n.a. aplica Provisión del servicio por medios alternativos → Mismos requerimientos que servicio habitual. CONTINUIDAD DEL SERVICIO op.cont Análisis de impacto op.cont.1 D n.a. aplica = Realizar análisis de Impacto. Plan de continuidad op.cont.2 D n.a. n.a. aplica Realizar Plan de Continuidad. Pruebas periódicas op.cont.3 D n.a. n.a. aplica Pruebas periódicas Plan Continuidad. MONITORIZACIÓN DEL SISTEMA op.mon Detección de intrusión op.mon.1 Todas n.a. aplica = Herramientas de detección o prevención de intrusiones. Sistema de métricas op.mon.2 Todas Aplica + ++ Recopilar datos sobre implantación de medidas de seguridad Recopilar datos sobre: número de incidentes tratados, tiempo empleado para cerrar 50% de incidentes, tiempo empleado para cerrar 90% incidentes. Recursos consumidos: horas y presupuesto. MEDIDAS DE PROTECCIÓN mp Se centran en proteger activos concretos, con el nivel requerido a cada dimensión de seguridad. PROTECCIÓN DE LAS INSTALACIONES E INFRAESTRUCTURAS mp.if Protección de los locales, equipos, cableado, etc. donde se ubiquen los sistemas de información y sus componentes. Áreas separadas y con control de acceso mp.if.1 Todas aplica = = Equipamiento en áreas separadas específicas para su función, Control de accesos a las áreas indicadas. Identificación de las personas mp.if.2 Todas aplica = = Mecanismo control de acceso: identificación y registro. Acondicionamiento de los locales mp.if.3 Todas aplica = = Locales acondicionados: temperatura, humedad, protección de amenazas, protección de cableado. Energía eléctrica mp.if.4 D aplica + = Garantía suministro potencia eléctrica. Garantía funcionamiento luces de emergencia. Garantía suministro eléctrico adicional, que garantice tiempo suficiente para parada ordenada y salvaguarda de la información. Protección frente a incendios mp.if.5 D aplica = = Protección contra incendios. Protección frente a inundaciones mp.if.6 D n.a. aplica = Protección frente a incidentes causados por el agua. Registro de entrada y salida de equipamiento mp.if.7 Todas aplica = = Registro de E/S de equipamiento. Instalaciones alternativas mp.if.9 D n.a. n.a. aplica Instalaciones Alternativas
MEDIDAS DE SEGURIDAD Dimensiones Afectadas Nivel Categoría Bajo Medio Alto Básica Media Alta GESTIÓN DEL PERSONAL mp.per Caracterización del puesto de trabajo mp.per.1 Todas (C+) n.a. aplica = Definición de responsabilidades de cada puesto de trabajo en materia de seguridad. Definición de requisitos que deben cumplir las personas. Deberes y obligaciones mp.per.2 Todas (C+) aplica = = Información sobre deberes y obligaciones de cada puesto de trabajo. Si la persona es contratada por terceros: deberes y obligaciones del personal, deberes y obligaciones de cada parte, procedimiento de resolución de incidentes relacionados con estas obligaciones. Concienciación mp.per.3 Todas aplica = = Acciones de concienciación del personal acerca de su papel y responsabilidad. Formación mp.per.4 Todas aplica = = Acciones formativas según las responsabilidades y actividades a desempeñar (administración, detección, gestión, etc.). Personal alternativo mp.per.9 D n.a. n.a. aplica Existencia y disponibilidad de personal alternativo. PROTECCIÓN DE LOS EQUIPOS mp.eq Puesto de trabajo despejado mp.eq.1 Todas aplica + = Guardar material en lugar cerrado cuando no se use. Bloqueo de puesto de trabajo mp.eq.2 A n.a. aplica + Inactividad (t) → Bloqueo Equipo → Nueva autenticación Inactividad (>t) → Cancelación de sesiones Protección de equipos portátiles mp.eq.3 Todas aplica = + Inventario equipos portátiles, canal de comunicación con gestión de incidencias, minimizar visibilidad exterior y acceso interior, no contenga claves de acceso. Protectores de violación de seguridad, datos almacenados cifrados. Medios alternativos mp.eq.9 D n.a. aplica = Deben existir medios alternativos de tratamiento de la información con un tiempo máximo de puesta en marcha de los equipos alternativos. PROTECCIÓN DE LAS COMUNICACIONES mp.com Perímetro seguro mp.com.1 Todas aplica = + Red interna separada por cortafuegos de la externa, todo el tráfico debe pasar por el cortafuegos. Sistema cortafuegos: dos equipos en cascada de fabricantes diferentes, Sistema redundante. Protección de la confidencialidad mp.com.2 op.pl.5 C n.a. aplica + Uso de redes privadas virtuales si la comunicación sale del dominio de seguridad, usando algoritmos acreditados por CCN. Para establecer red privada virtual se usaran preferentemente dispositivos hardware. Se emplearán productos certificados conforme a lo establecido en [op.pl.5] Protección de la autenticidad y de la integridad mp.com.3 op.acc.5 op.pl.5 I A aplica + ++ Asegurar autenticación del otro extremo antes de intercambiar información, prevención de ataques activos Uso de redes privadas virtuales si la comunicación sale del dominio de seguridad, usando algoritmos acreditados por CCN. Para establecer red privada virtual se usaran preferentemente dispositivos hardware. Se emplearán productos certificados conforme a lo establecido en [op.pl.5]. Se aceptará cualquier mecanismo de autenticación de los previstos en normativa de aplicación. Segregación de redes mp.com.4 mp.com.1 Todas n.a. n.a. aplica La red se segmentará, control de entrada de los usuarios que llegan a cada segmento, control de salida de la información que circula por cada segmento, segmentación por dispositivos físicos o lógicos que deben estar monitorizados. Medios alternativos mp.com.9 D n.a. n.a. aplica Deben existir medios alternativos de comunicación.
MEDIDAS DE SEGURIDAD Dimensiones Afectadas Nivel Categoría Bajo Medio Alto Básica Media Alta PROTECCIÓN DE LOS SOPORTES DE INFORMACIÓN mp.si Etiquetado mp.si.1 C aplica = = Soportes etiquetados, sin revelar información, pero informando de nivel de seguridad de la información guardada, los usuarios deben poder entender esta información. Criptografía mp.si.2 I C n.a. aplica + Se aplica a dispositivos removibles (Cds, DVDs, Memorias USB, etc.) La información se debe almacenar encriptada. Uso de algoritmos acreditados por CCN y productos certificados por CCN. Custodia mp.si.3 mp.if.1 mp.if.7 mp.si.2 Todas aplica = = Diligencia y control sobre los soportes de información, garantizando control de acceso mediante medidas físicas o lógicas o ambas y las exigencias de mantenimiento del fabricante. Transporte mp.si.4 mp.si.2 op.exp.11 Todas aplica = = Control del transporte (satisfaciendo medidas seguridad): registro e/s, procedimiento de cotejación e/s, protección criptográfica que proceda y gestión de claves. Borrado y destrucción mp.si.5 op.pl.5 C aplica + = Los soportes que se reutilicen deben borrarse de manera segura Se destruirán los soportes que no permitan el borrado seguro o cuando lo requiera un procedimiento asociado al tipo de información contenida. PROTECCIÓN DE LAS APLICACIONES INFORMÁTICAS mp.sw Desarrollo mp.sw.1 Todas n.a. aplica = Separación entorno desarrollo y producción. No deben existir herramientas ni datos de desarrollo en producción. Uso de una metodología de desarrollo reconocida: que tome aspectos de seguridad en CVDS, use los entornos de pruebas y permita inspección de código fuente e incluya normas de programación segura. Forman parte del diseño del sistema: mecanismos de autenticación y autorización, mecanismos de protección de la información y las pistas de auditoría. Las pruebas previas a implantación no se pueden realizar con datos reales excepto si se cumple el nivel de seguridad correspondiente. Aceptación y puesta en servicio mp.sw.2 Todas aplica + ++ Antes de pasar a producción, comprobaciones: - criterios de aceptación en materia de seguridad - no se deteriora seguridad de otros componentes - Entorno de Preproducción para pruebas - Las pruebas de aceptación no se realizarán con datos reales salvo si se cumple el nivel de seguridad correspondiente. - Análisis de vulnerabilidades. - Pruebas de penetración. - Análisis de coherencia en la integración de procesos. - Auditoría de código fuente. PROTECCIÓN DE LA INFORMACIÓN mp.info Datos de carácter personal mp.info.1 Todas aplica = = Se aplica lo dispuesto en LOPD Calificación de la información mp.info.2 C aplica + = Debe existir Responsable de la Información → Determinará nivel de seguridad y medidas a tomar. Procedimientos de etiquetado y tratamiento de la información (control de acceso, almacenamiento, copias, etiquetado, transmisión, etc.. Cifrado mp.info.3 mp.com.2 mp.si.2 C n.a. n.a. aplica Cifrar tanto en almacenamiento como en transmisión.
MEDIDAS DE SEGURIDAD Dimensiones Afectadas Nivel Categoría Bajo Medio Alto Básica Media Alta Firma electrónica mp.info.4 op.pl.5 I A aplica + ++ Disponer de una Política de Firma Electrónica. El signatario o firmante es responsable de la información que firma. Sirve cualquier medio de firma electrónica previsto en la legislación vigente. Cuando se usen sistemas de firma electrónica avanzada basados en certificados cualificados. Algoritmos acreditados por CCN. Garantizar verificación y validación de la firma durante un periodo de tiempo → medios para garantizarlo (certificados, sellos de tiempo, datos de verificación, etc.). Ciudadanos: Se verificarán y validarán las firmas recibidas en el momento de la recepción. Administración: Se anexarán o referenciarán los datos de verificación y validación de firma. Se usará firma electrónica cualificada, certificados cualificados, dispositivos cualificados de creación de firma. Se usarán productos certificados. Sellos de tiempo mp.info.5 T n.a. n.a. aplica Uso de sellos de tiempo para prevenir repudio posterior. Tener presente “vida futura” de los datos y herramientas por ser “evidencias electrónicas” → gestión de la renovación de estos certificados. Norma europea de aplicación. Limpieza de documentos mp.info.6 C aplica = = En el proceso de limpieza de documentos se retirará la información adicional contenida en campos ocultos, meta- datos, comentarios o revisiones anteriores, salvo cuando dicha información sea pertinente para el receptor del documento → tenerlo presente cuando se publican en repositorios (SCM, archivo doc) o en Web. Copias de seguridad (backup) mp.info.9 D Aplica = = Realización de copias de seguridad que permitan recuperar datos perdidos, accidental o intencionadamente con una antigüedad determinada. Deberán cumplir las mismas condiciones que los datos reales respecto a I, C, T, A. Posibilidad de estar encriptadas. Abarcan datos, programas, configuración, claves, etc. PROTECCIÓN DE LOS SERVICIOS mp.s Protección del correo electrónico mp.s.1 Todas aplica = = Protección de la información (cuerpo y anexos) y protección de la comunicación. Protección frente a SPAM, virus, etc. Normas de uso del correo (limitaciones, concienciación y formación). Protección de servicios y aplicaciones web mp.s.2 Todas aplica = + En subsistemas dedicados a la publicación de información: No esté disponible la información si hay control de acceso. Prevención de ciertos ataques: manipulación de URL, manipulación de cookies. Prevención de escalada de privilegios, ataques de “cross site scripting”, ataques que usen “proxies” o “caches”. Se usarán “certificados de autenticación de sitio web” acordes a la normativa europea. Se usarán “certificados cualificados de autenticación de sitio web” acordes a la normativa europea. Protección frente a la denegación de servicio mp.s.8 D n.a. aplica + Medidas preventivas y reactivas (planificación de la capacidad, tecnologías de prevención) Sistema de detección de ataques Procedimientos de reacción. Control de ataques desde el interior organización para perjudicar a terceros. Medios alternativos mp.s.9 D n.a. n.a. aplica Existencia medios alternativos para prestar los servicios, sujetos a las mismas garantías de protección que los medios habituales.
gvlogos-seg_reqs_medidas_seguridad_ens_tabla.pdf

Recomendados

Sia i cap10
Sia i cap10Sia i cap10
Sia i cap10Carlos Gonzalez
 
Clase Seis Control 2009
Clase Seis Control 2009Clase Seis Control 2009
Clase Seis Control 2009infosistemasuno
 
Clase diecisiete 2011
Clase diecisiete 2011Clase diecisiete 2011
Clase diecisiete 2011tecnodelainfo
 
Evaluación de controles
Evaluación de controlesEvaluación de controles
Evaluación de controlesJose Alvarado Robles
 
UPC - Soporte: Proceso Seguridad de información
UPC - Soporte: Proceso Seguridad de informaciónUPC - Soporte: Proceso Seguridad de información
UPC - Soporte: Proceso Seguridad de informaciónJack Daniel Cáceres Meza
 
Evaluación de controles
Evaluación de controlesEvaluación de controles
Evaluación de controlesJose Alvarado Robles
 
Spac 1.3 Presentacion 20091024
Spac 1.3 Presentacion 20091024Spac 1.3 Presentacion 20091024
Spac 1.3 Presentacion 20091024Manuel Gil
 
Curso: Introducción a la seguridad informática: 08 Gestionar la seguridad inf...
Curso: Introducción a la seguridad informática: 08 Gestionar la seguridad inf...Curso: Introducción a la seguridad informática: 08 Gestionar la seguridad inf...
Curso: Introducción a la seguridad informática: 08 Gestionar la seguridad inf...Jack Daniel Cáceres Meza
 

Recomendados

Sia i cap10
Sia i cap10Sia i cap10
Sia i cap10Carlos Gonzalez
 
Clase Seis Control 2009
Clase Seis Control 2009Clase Seis Control 2009
Clase Seis Control 2009infosistemasuno
 
Clase diecisiete 2011
Clase diecisiete 2011Clase diecisiete 2011
Clase diecisiete 2011tecnodelainfo
 
Evaluación de controles
Evaluación de controlesEvaluación de controles
Evaluación de controlesJose Alvarado Robles
 
UPC - Soporte: Proceso Seguridad de información
UPC - Soporte: Proceso Seguridad de informaciónUPC - Soporte: Proceso Seguridad de información
UPC - Soporte: Proceso Seguridad de informaciónJack Daniel Cáceres Meza
 
Evaluación de controles
Evaluación de controlesEvaluación de controles
Evaluación de controlesJose Alvarado Robles
 
Spac 1.3 Presentacion 20091024
Spac 1.3 Presentacion 20091024Spac 1.3 Presentacion 20091024
Spac 1.3 Presentacion 20091024Manuel Gil
 
Curso: Introducción a la seguridad informática: 08 Gestionar la seguridad inf...
Curso: Introducción a la seguridad informática: 08 Gestionar la seguridad inf...Curso: Introducción a la seguridad informática: 08 Gestionar la seguridad inf...
Curso: Introducción a la seguridad informática: 08 Gestionar la seguridad inf...Jack Daniel Cáceres Meza
 
C:\Fakepath\Conceptos BáSicos Sobre La AuditoríA
C:\Fakepath\Conceptos BáSicos Sobre La AuditoríAC:\Fakepath\Conceptos BáSicos Sobre La AuditoríA
C:\Fakepath\Conceptos BáSicos Sobre La AuditoríAXimena Williams
 
Seguridad en redes informáticas
Seguridad en redes informáticasSeguridad en redes informáticas
Seguridad en redes informáticaschanel-bullicolor
 
Material de Seguridad Fisica/Logica
Material de Seguridad Fisica/LogicaMaterial de Seguridad Fisica/Logica
Material de Seguridad Fisica/LogicaUPTM
 
Desarrollo y mantenimiento de sistemas
Desarrollo y mantenimiento de sistemasDesarrollo y mantenimiento de sistemas
Desarrollo y mantenimiento de sistemasDavid Aguilar
 
Desarrollo y mantenimiento de sistemas
Desarrollo y mantenimiento de sistemasDesarrollo y mantenimiento de sistemas
Desarrollo y mantenimiento de sistemasDavid Aguilar
 
Guia 1ra parte
Guia 1ra parteGuia 1ra parte
Guia 1ra parteAlecyña Zapata
 
auditoria
auditoria auditoria
auditoria xxgiancarloxx
 
Parte2 Auditoria Informatica
Parte2 Auditoria InformaticaParte2 Auditoria Informatica
Parte2 Auditoria InformaticaHernán Sánchez
 
Vanessa sierra adquisicion e implementacion
Vanessa sierra adquisicion e implementacionVanessa sierra adquisicion e implementacion
Vanessa sierra adquisicion e implementacionvanessagiovannasierra
 
Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...
Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...
Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...Jack Daniel Cáceres Meza
 
04 ai seguridad
04 ai seguridad04 ai seguridad
04 ai seguridadMiguel Angel Sandoval Calderon
 
Ejemplo de auditoria
Ejemplo de auditoriaEjemplo de auditoria
Ejemplo de auditoriaMayerly Urrego Guerrero
 
Generacion simplificada de reportes de cumplimiento en ibm i
Generacion simplificada de reportes de cumplimiento en ibm iGeneracion simplificada de reportes de cumplimiento en ibm i
Generacion simplificada de reportes de cumplimiento en ibm iHelpSystems
 
AUDITORIA
AUDITORIAAUDITORIA
AUDITORIACecy1917
 
Auditoria1
Auditoria1Auditoria1
Auditoria1grangurusv
 
Actividad 2 crs
Actividad 2 crsActividad 2 crs
Actividad 2 crsLeonel Ibarra
 
Control interno (ci)
Control interno (ci)Control interno (ci)
Control interno (ci)Jose Alvarado Robles
 
Evidencia 2
Evidencia 2Evidencia 2
Evidencia 2Henry Gómez
 
Hola
HolaHola
HolaVictor Manuel Ramirez Chacon
 
Ejemplo de-auditoria
Ejemplo de-auditoriaEjemplo de-auditoria
Ejemplo de-auditoriaAntonio Mtz
 

Más contenido relacionado

Similar a gvlogos-seg_reqs_medidas_seguridad_ens_tabla.pdf

C:\Fakepath\Conceptos BáSicos Sobre La AuditoríA
C:\Fakepath\Conceptos BáSicos Sobre La AuditoríAC:\Fakepath\Conceptos BáSicos Sobre La AuditoríA
C:\Fakepath\Conceptos BáSicos Sobre La AuditoríAXimena Williams
 
Seguridad en redes informáticas
Seguridad en redes informáticasSeguridad en redes informáticas
Seguridad en redes informáticaschanel-bullicolor
 
Material de Seguridad Fisica/Logica
Material de Seguridad Fisica/LogicaMaterial de Seguridad Fisica/Logica
Material de Seguridad Fisica/LogicaUPTM
 
Desarrollo y mantenimiento de sistemas
Desarrollo y mantenimiento de sistemasDesarrollo y mantenimiento de sistemas
Desarrollo y mantenimiento de sistemasDavid Aguilar
 
Desarrollo y mantenimiento de sistemas
Desarrollo y mantenimiento de sistemasDesarrollo y mantenimiento de sistemas
Desarrollo y mantenimiento de sistemasDavid Aguilar
 
Parte2 Auditoria Informatica
Parte2 Auditoria InformaticaParte2 Auditoria Informatica
Parte2 Auditoria InformaticaHernán Sánchez
 
Vanessa sierra adquisicion e implementacion
Vanessa sierra adquisicion e implementacionVanessa sierra adquisicion e implementacion
Vanessa sierra adquisicion e implementacionvanessagiovannasierra
 
Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...
Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...
Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...Jack Daniel Cáceres Meza
 
Generacion simplificada de reportes de cumplimiento en ibm i
Generacion simplificada de reportes de cumplimiento en ibm iGeneracion simplificada de reportes de cumplimiento en ibm i
Generacion simplificada de reportes de cumplimiento en ibm iHelpSystems
 
Ejemplo de-auditoria
Ejemplo de-auditoriaEjemplo de-auditoria
Ejemplo de-auditoriaAntonio Mtz
 

Similar a gvlogos-seg_reqs_medidas_seguridad_ens_tabla.pdf (20)

C:\Fakepath\Conceptos BáSicos Sobre La AuditoríA
C:\Fakepath\Conceptos BáSicos Sobre La AuditoríAC:\Fakepath\Conceptos BáSicos Sobre La AuditoríA
C:\Fakepath\Conceptos BáSicos Sobre La AuditoríA
 
Seguridad en redes informáticas
Seguridad en redes informáticasSeguridad en redes informáticas
Seguridad en redes informáticas
 
Material de Seguridad Fisica/Logica
Material de Seguridad Fisica/LogicaMaterial de Seguridad Fisica/Logica
Material de Seguridad Fisica/Logica
 
Desarrollo y mantenimiento de sistemas
Desarrollo y mantenimiento de sistemasDesarrollo y mantenimiento de sistemas
Desarrollo y mantenimiento de sistemas
 
Desarrollo y mantenimiento de sistemas
Desarrollo y mantenimiento de sistemasDesarrollo y mantenimiento de sistemas
Desarrollo y mantenimiento de sistemas
 
Guia 1ra parte
Guia 1ra parteGuia 1ra parte
Guia 1ra parte
 
auditoria
auditoria auditoria
auditoria
 
Parte2 Auditoria Informatica
Parte2 Auditoria InformaticaParte2 Auditoria Informatica
Parte2 Auditoria Informatica
 
Vanessa sierra adquisicion e implementacion
Vanessa sierra adquisicion e implementacionVanessa sierra adquisicion e implementacion
Vanessa sierra adquisicion e implementacion
 
Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...
Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...
Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...
 
04 ai seguridad
04 ai seguridad04 ai seguridad
04 ai seguridad
 
Ejemplo de auditoria
Ejemplo de auditoriaEjemplo de auditoria
Ejemplo de auditoria
 
Generacion simplificada de reportes de cumplimiento en ibm i
Generacion simplificada de reportes de cumplimiento en ibm iGeneracion simplificada de reportes de cumplimiento en ibm i
Generacion simplificada de reportes de cumplimiento en ibm i
 
AUDITORIA
AUDITORIAAUDITORIA
AUDITORIA
 
Auditoria1
Auditoria1Auditoria1
Auditoria1
 
Actividad 2 crs
Actividad 2 crsActividad 2 crs
Actividad 2 crs
 
Control interno (ci)
Control interno (ci)Control interno (ci)
Control interno (ci)
 
Evidencia 2
Evidencia 2Evidencia 2
Evidencia 2
 
Hola
HolaHola
Hola
 
Ejemplo de-auditoria
Ejemplo de-auditoriaEjemplo de-auditoria
Ejemplo de-auditoria
 

gvlogos-seg_reqs_medidas_seguridad_ens_tabla.pdf

  • 1. RESUMEN MEDIDAS SEGURIDAD SEGÚN ENS Seguridad Aplicada a los Sistema de Información (gvlogos-seg) DGTI - Servicio de Seguridad Versión 1.7 27/10/2021
  • 2. Control del documento Título RESUMEN MEDIDAS SEGURIDAD SEGÚN ENS Ruta C:UsersJoseOneDrive - GENERALITAT10_TRABAJO50_GVLOGOS-SEG03_desarrollo Nombre archivo gvlogos-seg_reqs_medidas_seguridad_ens_tabla.odt Tipo Documento de trabajo Documento de referencia Clasificación Público Interno Restringido Confidencial Estado Borrador Aprobado Obsoleto Control de cambios Versión Responsable Organismo Descripción del cambio Fecha 1.0 José Alarcón DGTI-SSI Primera versión resumen de las medidas (SEGUR-17) 30/01/13 1.1 José Alarcón DGTI-SSI Revisión de formato 06/02/13 1.2 José Alarcón DGTI-SSEG Actualización de meta-datos y publicación 29/08/14 1.3 Mercedes Baroja DGTIC-SSEG Actualización ENS 20/06/16 1.4 José Alarcón DGTIC-SSEG Revisión para consolidar los cambios (GESEGUR-132) 07/09/16 1.5 Enrique Blat DGTIC-SSEG Corrección erratas 10/07/18 1.6 Jose Alarcón DGTIC-SSEG Adaptación a Word y repaso para SINDONE 04/06/20 1.7 Jose Alarcón DGTIC-SSEG Corrección en descripción de op.pl.5 27/10/21 Objetivo Se realiza una tabla con un resumen de las medidas de seguridad que se deben aplicar según el Esquema Nacional de Seguridad.
  • 3. MEDIDAS DE SEGURIDAD Dimensiones Afectadas Nivel Categoría Bajo Medio Alto Básica Media Alta MARCO ORGANIZATIVO org usa Conjunto de medidas relacionadas con la organización global de la seguridad Política de seguridad org.1 Todas aplica = = Definición de una política de seguridad Normativa de seguridad org.2 Todas aplica = = Documentos: uso correcto equipos, servicios, instalaciones y las responsabilidades. Procedimientos de seguridad org.3 Todas aplica = = Documentos: procedimiento tareas habituales Proceso de autorización org.4 Todas aplica = = Proceso formal de autorizaciones: instalaciones, equipos producción, entradas a aplicaciones, enlaces con otros sistemas, medios de comunicación, soportes de información y equipos móviles, utilización de servicios de terceros. MARCO OPERACIONAL op Medidas a tomar para proteger la operación del sistema como conjunto integral de componentes para un fin PLANIFICACIÓN op.pl Análisis de riesgos op.pl.1 Todas aplica + ++ Análisis Informal. Análisis semiformal. Análisis Formal. Arquitectura de seguridad op.pl.2 Todas aplica + ++ Documentación de las instalaciones, documentación del sistema, esquema de líneas de defensa, sistema de identificación y autenticación de usuarios Sistema de gestión para planificar, organizar y controlar los recursos relativos a la seguridad. Sistema de gestión de seguridad de la información con actualización y aprobación periódica. Control técnico interno de datos de entrada y salida. Adquisición de nuevos componentes op.pl.3 op.pl.1 op.pl.2 Todas aplica = = Proceso formal de adquisición de nuevos componentes. Dimensionamiento / Gestión de capacidades op.pl.4 D n.a. aplica = Estudio previo a la puesta en explotación de necesidades de procesamiento, almacenamiento, comunicaciones, personal, instalaciones y medios auxiliares. Componentes certificados op.pl.5 Todas n.a. n.a. aplica Se utilizarán sistemas, productos o equipos cuyas funcionalidades de seguridad y su nivel hayan sido evaluados conforme a normas europeas o internacionales y cuyos certificados estén reconocidos por el Esquema Nacional de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información. CONTROL DE ACCESO op.acc op.acc.1 op.acc.2 op.acc.3 op.acc.4 op.acc.6 op.acc.7 mp.acc.5 op.exp.8 op.ext Conjunto de actividades preparatorias y ejecutivas para que una determinada entidad, usuario o proceso, pueda, o no, acceder a un recurso del sistema para realizar una determinada acción. Relación comodidad/seguridad: en sistemas de nivel Bajo, se primará la comodidad, en sistemas de nivel Alto se primará la protección. Se garantizará que nadie accederá a recursos sin autorización. Además, quedará registrado el uso del sistema. Cuando se interconecten sistemas las medidas de seguridad locales se acompañarán de los correspondientes acuerdos de colaboración que delimiten mecanismos y procedimientos para la atribución y ejercicio efectivos de las responsabilidades de cada sistema. Identificación op.acc.1 A T aplica = = Usuarios con diferentes roles, dispondrán de diferentes identificadores. Identificador singular para cada entidad (usuario o proceso) que accede al sistema y para cada rol. Cuentas de usuario se inhabilitan cuando el usuario cesa sus funciones. Se retienen para garantizar la trazabilidad. Reglamento 910/2014 del Parlamento Europeo sobre niveles de seguridad en la identificación electrónica. Requisitos de acceso op.acc.2 I C A T aplica = = No se permitirá la utilización de recursos del sistema salvo por quien tenga los derechos de acceso. Segregación de funciones y tareas op.acc.3 I C A T n.a. aplica = Se exigirá la concurrencia de dos o más personas para realizar determinadas tareas críticas. Como mínimo se separan las siguientes tareas: - desarrollo → operación - configuración y mantenimiento → operación - auditoría o supervisión → cualquier otra Proceso de gestión de derechos de acceso op.acc.4 I C A T aplica = = Los derechos de acceso se ciñeran a los principios de “mínimo privilegio de acceso” y “capacidad de autorizar de quien corresponda”.
  • 4. MEDIDAS DE SEGURIDAD Dimensiones Afectadas Nivel Categoría Bajo Medio Alto Básica Media Alta Mecanismo de autenticación op.acc.5 op.pl.5 I C A T aplica + ++ Factores: - “algo que se sabe” claves concertadas - “algo que se tiene” dispositivos físicos (tokens), componentes lógicos (certificados) - “algo que se es” mecanismos biométricos. Ver guías CCN-STIC. Los factores pueden combinarse para generar mecanismos de autenticación fuerte. Un solo factor, reglas básicas de calidad en contraseñas y renovación periódica. Cinco controles en el proceso definido de gestión de credenciales. Dos factores. Si se usan contraseñas, política rigurosa de calidad contraseñas y renovación frecuente. Registro previo, presencial o telemático. Caducidad de credenciales tras tiempo sin uso. Contraseñas, tokens hardware o biometría. Productos certificados. Registro previo presencial o telemático con certificado cualificado. Resumen Nivel BAJO MEDIO ALTO algo que se sabe claves concertadas sí sí+doble factor sí+doble factor algo que se tiene Tokens sí Sí+ doble factor hardware algo que se es Biometría sí Sí + doble factor sí+doble factor Acceso local (local logon) op.acc.6 I C A T aplica + ++ Información mínima si no se accede al sistema, bloqueo de acceso si hay ciertos fallos consecutivos, registro de accesos fallidos y de éxito e información de las obligaciones. Se informa del último acceso. Acceso limitado por horas, fechas y lugares, y habrán puntos del sistema que requieren renovación de la autenticación. Acceso remoto (remote login) op.acc.7 op.acc.6 mp.com.2 mp.com.3 I C A T aplica + = Igual que op.acc.6 y también se debe proteger el canal de acceso remoto. Se debe establecer política de lo que puede hacerse remotamente, se requiere autorización positiva. EXPLOTACIÓN op.exp Inventario de activos op.exp.1 Todas aplica = = Inventario detallado de todos los elementos del sistema con su naturaleza y responsable. Configuración de seguridad op.exp.2 Todas aplica = = Previo a entrar en operación, se configuran los equipos retirando cuentas y contraseñas estándar, aplicando las reglas de “mínima funcionalidad” y “seguridad por defecto”. Gestión de la configuración op.exp.3 op.exp.2 op.exp.4 op.exp.7 op.acc.4 Todas n.a. aplica = Debe existir Gestión de la Configuración del sistema. Mantenimiento op.exp.4 Todas aplica = = Seguir especificaciones fabricantes (instalación y mantenimiento), seguimiento de defectos, mejoras, parches, actualizaciones, nuevas versiones. Gestión de cambios op.exp.5 Todas n.a. aplica = Gestión de los cambios del sistema y pruebas previas en entorno preproducción. Protección frente a código dañino op.exp.6 Todas aplica = = Mecanismos de prevención y reacción. Gestión de incidencias op.exp.7 Todas n.a. aplica = Procedimiento de Gestión de Incidencias de Seguridad Registro de la actividad de los usuarios op.exp.8 op.pl.1 T aplica + ++ Se activarán los registros de actividad Se revisarán informalmente los registros buscando patrones anormales. Se dispondrá de un sistema automático de recolección de registros y correlación de eventos, es decir, una consola de seguridad centralizada. Registro de la gestión de incidentes op.exp.9 Todas n.a. aplica = Registro de la Gestión de Incidentes
  • 5. MEDIDAS DE SEGURIDAD Dimensiones Afectadas Nivel Categoría Bajo Medio Alto Básica Media Alta Protección de los registros de actividad op.exp.10 mp.info.5 T n.a. n.a. aplica Protección de los registros del sistema y de las copias de seguridad. Protección de claves criptográficas op.exp.11 Todas aplica + = Se protegen durante todo su ciclo de vida. Los medios de generación separados de los de explotación. Uso de programas o dispositivos certificados. SERVICIOS EXTERNOS op.ext Cuando se utilicen recursos externos a la organización, sean servicios, equipos, instalaciones o personal, deberá tenerse en cuenta que la delegación se limita a las funciones, la organización sigue siendo en todo momento responsable. Contratación y acuerdos de nivel de servicio op.ext.1 Todas n.a. aplica = Acuerdos de nivel de servicio Gestión diaria op.ext.2 op.ext.1 op.exp.7 Todas n.a. aplica = Sistema rutinario de medición de los acuerdos de nivel de servicio, Procedimiento para neutralizar desvíos de cumplimiento, Procedimiento de coordinación para tareas de mantenimiento y Procedimiento de Coordinación para gestión de incidentes. Medios alternativos op.ext.9 D n.a. n.a. aplica Provisión del servicio por medios alternativos → Mismos requerimientos que servicio habitual. CONTINUIDAD DEL SERVICIO op.cont Análisis de impacto op.cont.1 D n.a. aplica = Realizar análisis de Impacto. Plan de continuidad op.cont.2 D n.a. n.a. aplica Realizar Plan de Continuidad. Pruebas periódicas op.cont.3 D n.a. n.a. aplica Pruebas periódicas Plan Continuidad. MONITORIZACIÓN DEL SISTEMA op.mon Detección de intrusión op.mon.1 Todas n.a. aplica = Herramientas de detección o prevención de intrusiones. Sistema de métricas op.mon.2 Todas Aplica + ++ Recopilar datos sobre implantación de medidas de seguridad Recopilar datos sobre: número de incidentes tratados, tiempo empleado para cerrar 50% de incidentes, tiempo empleado para cerrar 90% incidentes. Recursos consumidos: horas y presupuesto. MEDIDAS DE PROTECCIÓN mp Se centran en proteger activos concretos, con el nivel requerido a cada dimensión de seguridad. PROTECCIÓN DE LAS INSTALACIONES E INFRAESTRUCTURAS mp.if Protección de los locales, equipos, cableado, etc. donde se ubiquen los sistemas de información y sus componentes. Áreas separadas y con control de acceso mp.if.1 Todas aplica = = Equipamiento en áreas separadas específicas para su función, Control de accesos a las áreas indicadas. Identificación de las personas mp.if.2 Todas aplica = = Mecanismo control de acceso: identificación y registro. Acondicionamiento de los locales mp.if.3 Todas aplica = = Locales acondicionados: temperatura, humedad, protección de amenazas, protección de cableado. Energía eléctrica mp.if.4 D aplica + = Garantía suministro potencia eléctrica. Garantía funcionamiento luces de emergencia. Garantía suministro eléctrico adicional, que garantice tiempo suficiente para parada ordenada y salvaguarda de la información. Protección frente a incendios mp.if.5 D aplica = = Protección contra incendios. Protección frente a inundaciones mp.if.6 D n.a. aplica = Protección frente a incidentes causados por el agua. Registro de entrada y salida de equipamiento mp.if.7 Todas aplica = = Registro de E/S de equipamiento. Instalaciones alternativas mp.if.9 D n.a. n.a. aplica Instalaciones Alternativas
  • 6. MEDIDAS DE SEGURIDAD Dimensiones Afectadas Nivel Categoría Bajo Medio Alto Básica Media Alta GESTIÓN DEL PERSONAL mp.per Caracterización del puesto de trabajo mp.per.1 Todas (C+) n.a. aplica = Definición de responsabilidades de cada puesto de trabajo en materia de seguridad. Definición de requisitos que deben cumplir las personas. Deberes y obligaciones mp.per.2 Todas (C+) aplica = = Información sobre deberes y obligaciones de cada puesto de trabajo. Si la persona es contratada por terceros: deberes y obligaciones del personal, deberes y obligaciones de cada parte, procedimiento de resolución de incidentes relacionados con estas obligaciones. Concienciación mp.per.3 Todas aplica = = Acciones de concienciación del personal acerca de su papel y responsabilidad. Formación mp.per.4 Todas aplica = = Acciones formativas según las responsabilidades y actividades a desempeñar (administración, detección, gestión, etc.). Personal alternativo mp.per.9 D n.a. n.a. aplica Existencia y disponibilidad de personal alternativo. PROTECCIÓN DE LOS EQUIPOS mp.eq Puesto de trabajo despejado mp.eq.1 Todas aplica + = Guardar material en lugar cerrado cuando no se use. Bloqueo de puesto de trabajo mp.eq.2 A n.a. aplica + Inactividad (t) → Bloqueo Equipo → Nueva autenticación Inactividad (>t) → Cancelación de sesiones Protección de equipos portátiles mp.eq.3 Todas aplica = + Inventario equipos portátiles, canal de comunicación con gestión de incidencias, minimizar visibilidad exterior y acceso interior, no contenga claves de acceso. Protectores de violación de seguridad, datos almacenados cifrados. Medios alternativos mp.eq.9 D n.a. aplica = Deben existir medios alternativos de tratamiento de la información con un tiempo máximo de puesta en marcha de los equipos alternativos. PROTECCIÓN DE LAS COMUNICACIONES mp.com Perímetro seguro mp.com.1 Todas aplica = + Red interna separada por cortafuegos de la externa, todo el tráfico debe pasar por el cortafuegos. Sistema cortafuegos: dos equipos en cascada de fabricantes diferentes, Sistema redundante. Protección de la confidencialidad mp.com.2 op.pl.5 C n.a. aplica + Uso de redes privadas virtuales si la comunicación sale del dominio de seguridad, usando algoritmos acreditados por CCN. Para establecer red privada virtual se usaran preferentemente dispositivos hardware. Se emplearán productos certificados conforme a lo establecido en [op.pl.5] Protección de la autenticidad y de la integridad mp.com.3 op.acc.5 op.pl.5 I A aplica + ++ Asegurar autenticación del otro extremo antes de intercambiar información, prevención de ataques activos Uso de redes privadas virtuales si la comunicación sale del dominio de seguridad, usando algoritmos acreditados por CCN. Para establecer red privada virtual se usaran preferentemente dispositivos hardware. Se emplearán productos certificados conforme a lo establecido en [op.pl.5]. Se aceptará cualquier mecanismo de autenticación de los previstos en normativa de aplicación. Segregación de redes mp.com.4 mp.com.1 Todas n.a. n.a. aplica La red se segmentará, control de entrada de los usuarios que llegan a cada segmento, control de salida de la información que circula por cada segmento, segmentación por dispositivos físicos o lógicos que deben estar monitorizados. Medios alternativos mp.com.9 D n.a. n.a. aplica Deben existir medios alternativos de comunicación.
  • 7. MEDIDAS DE SEGURIDAD Dimensiones Afectadas Nivel Categoría Bajo Medio Alto Básica Media Alta PROTECCIÓN DE LOS SOPORTES DE INFORMACIÓN mp.si Etiquetado mp.si.1 C aplica = = Soportes etiquetados, sin revelar información, pero informando de nivel de seguridad de la información guardada, los usuarios deben poder entender esta información. Criptografía mp.si.2 I C n.a. aplica + Se aplica a dispositivos removibles (Cds, DVDs, Memorias USB, etc.) La información se debe almacenar encriptada. Uso de algoritmos acreditados por CCN y productos certificados por CCN. Custodia mp.si.3 mp.if.1 mp.if.7 mp.si.2 Todas aplica = = Diligencia y control sobre los soportes de información, garantizando control de acceso mediante medidas físicas o lógicas o ambas y las exigencias de mantenimiento del fabricante. Transporte mp.si.4 mp.si.2 op.exp.11 Todas aplica = = Control del transporte (satisfaciendo medidas seguridad): registro e/s, procedimiento de cotejación e/s, protección criptográfica que proceda y gestión de claves. Borrado y destrucción mp.si.5 op.pl.5 C aplica + = Los soportes que se reutilicen deben borrarse de manera segura Se destruirán los soportes que no permitan el borrado seguro o cuando lo requiera un procedimiento asociado al tipo de información contenida. PROTECCIÓN DE LAS APLICACIONES INFORMÁTICAS mp.sw Desarrollo mp.sw.1 Todas n.a. aplica = Separación entorno desarrollo y producción. No deben existir herramientas ni datos de desarrollo en producción. Uso de una metodología de desarrollo reconocida: que tome aspectos de seguridad en CVDS, use los entornos de pruebas y permita inspección de código fuente e incluya normas de programación segura. Forman parte del diseño del sistema: mecanismos de autenticación y autorización, mecanismos de protección de la información y las pistas de auditoría. Las pruebas previas a implantación no se pueden realizar con datos reales excepto si se cumple el nivel de seguridad correspondiente. Aceptación y puesta en servicio mp.sw.2 Todas aplica + ++ Antes de pasar a producción, comprobaciones: - criterios de aceptación en materia de seguridad - no se deteriora seguridad de otros componentes - Entorno de Preproducción para pruebas - Las pruebas de aceptación no se realizarán con datos reales salvo si se cumple el nivel de seguridad correspondiente. - Análisis de vulnerabilidades. - Pruebas de penetración. - Análisis de coherencia en la integración de procesos. - Auditoría de código fuente. PROTECCIÓN DE LA INFORMACIÓN mp.info Datos de carácter personal mp.info.1 Todas aplica = = Se aplica lo dispuesto en LOPD Calificación de la información mp.info.2 C aplica + = Debe existir Responsable de la Información → Determinará nivel de seguridad y medidas a tomar. Procedimientos de etiquetado y tratamiento de la información (control de acceso, almacenamiento, copias, etiquetado, transmisión, etc.. Cifrado mp.info.3 mp.com.2 mp.si.2 C n.a. n.a. aplica Cifrar tanto en almacenamiento como en transmisión.
  • 8. MEDIDAS DE SEGURIDAD Dimensiones Afectadas Nivel Categoría Bajo Medio Alto Básica Media Alta Firma electrónica mp.info.4 op.pl.5 I A aplica + ++ Disponer de una Política de Firma Electrónica. El signatario o firmante es responsable de la información que firma. Sirve cualquier medio de firma electrónica previsto en la legislación vigente. Cuando se usen sistemas de firma electrónica avanzada basados en certificados cualificados. Algoritmos acreditados por CCN. Garantizar verificación y validación de la firma durante un periodo de tiempo → medios para garantizarlo (certificados, sellos de tiempo, datos de verificación, etc.). Ciudadanos: Se verificarán y validarán las firmas recibidas en el momento de la recepción. Administración: Se anexarán o referenciarán los datos de verificación y validación de firma. Se usará firma electrónica cualificada, certificados cualificados, dispositivos cualificados de creación de firma. Se usarán productos certificados. Sellos de tiempo mp.info.5 T n.a. n.a. aplica Uso de sellos de tiempo para prevenir repudio posterior. Tener presente “vida futura” de los datos y herramientas por ser “evidencias electrónicas” → gestión de la renovación de estos certificados. Norma europea de aplicación. Limpieza de documentos mp.info.6 C aplica = = En el proceso de limpieza de documentos se retirará la información adicional contenida en campos ocultos, meta- datos, comentarios o revisiones anteriores, salvo cuando dicha información sea pertinente para el receptor del documento → tenerlo presente cuando se publican en repositorios (SCM, archivo doc) o en Web. Copias de seguridad (backup) mp.info.9 D Aplica = = Realización de copias de seguridad que permitan recuperar datos perdidos, accidental o intencionadamente con una antigüedad determinada. Deberán cumplir las mismas condiciones que los datos reales respecto a I, C, T, A. Posibilidad de estar encriptadas. Abarcan datos, programas, configuración, claves, etc. PROTECCIÓN DE LOS SERVICIOS mp.s Protección del correo electrónico mp.s.1 Todas aplica = = Protección de la información (cuerpo y anexos) y protección de la comunicación. Protección frente a SPAM, virus, etc. Normas de uso del correo (limitaciones, concienciación y formación). Protección de servicios y aplicaciones web mp.s.2 Todas aplica = + En subsistemas dedicados a la publicación de información: No esté disponible la información si hay control de acceso. Prevención de ciertos ataques: manipulación de URL, manipulación de cookies. Prevención de escalada de privilegios, ataques de “cross site scripting”, ataques que usen “proxies” o “caches”. Se usarán “certificados de autenticación de sitio web” acordes a la normativa europea. Se usarán “certificados cualificados de autenticación de sitio web” acordes a la normativa europea. Protección frente a la denegación de servicio mp.s.8 D n.a. aplica + Medidas preventivas y reactivas (planificación de la capacidad, tecnologías de prevención) Sistema de detección de ataques Procedimientos de reacción. Control de ataques desde el interior organización para perjudicar a terceros. Medios alternativos mp.s.9 D n.a. n.a. aplica Existencia medios alternativos para prestar los servicios, sujetos a las mismas garantías de protección que los medios habituales.