ANEXO II – Medidas de Seguridad
1. Disposiciones Generales
1. Para lograr el cumplimiento de los principios básicos y requisitos mínimos establecidos, se aplicarán las medidas de seguridad indicadas en este anexo, las cuales serán proporcionales a:
a) Las dimensiones de seguridad relevantes en el sistema a proteger.
b) La categoría del sistema de información a proteger.
2. Las medidas de seguridad se dividen en tres grupos:
a) Marco organizativo [org]. Constituido por el conjunto de medidas relacionadas con la organización global de la seguridad.
b) Marco operacional [op]. Formado por las medidas a tomar para proteger la operación del sistema como conjunto integral de componentes para un fin.
c) Medidas de protección [mp]. Se centran en proteger activos concretos, según su naturaleza y la calidad exigida por el nivel de seguridad de las dimensiones afectadas.
2. Selección de medidas de seguridad
1. Para la selección de las medidas de seguridad se seguirán los pasos siguientes:
a) Identificación de los tipos de activos presentes.
b) Determinación de las dimensiones de seguridad relevantes, teniendo en cuenta lo establecido en el anexo I.
c) Determinación del nivel correspondiente a cada dimensión de seguridad, teniendo en cuenta lo establecido en el anexo I.
d) Determinación de la categoría del sistema, según lo establecido en el Anexo I.
e) Selección de las medidas de seguridad apropiadas de entre las contenidas en este Anexo, de acuerdo con las dimensiones de seguridad y sus niveles, y, para determinadas medidas de seguridad, de acuerdo con la categoría del sistema.
2. A los efectos de facilitar el cumplimiento de lo dispuesto en este anexo, cuando en un sistema de información existan sistemas que requieran la aplicación de un nivel de medidas de seguridad diferente al del sistema principal, podrán segregarse de este último, siendo de aplicación en cada caso el nivel de medidas de seguridad correspondiente y siempre que puedan delimitarse la información y los servicios afectados.
3. La relación de medidas seleccionadas se formalizará en un documento denominado Declaración de Aplicabilidad, firmado por el responsable de la seguridad del sistema.
4. La correspondencia entre los niveles de seguridad exigidos en cada dimensión y las medidas de seguridad, es la que se indica en la tabla siguiente:
A partir de aquí el ENS desarrolla una lista de controles repartidos por categorías y explicando su contenido. Para evitar extender el documento vamosa limintarnos a establecer el paralelismo entre los distintos controles del esquema y los de la norma.
Hay que destacar que en el ENS se mezclan conceptos de distinto tipo dentro de una medida de seguridad propuesta. Para ello conviene tener presentel el RD donde puede comprobarse a qué se refiere cada medida. Ejemplo muy claro 3.4 Proceso de Autorización [org.4], que mezcla conceptos de muy distinta naturaleza cubiertos por diferentes dominios y/u objetivos de control de la norma. Igual ocurre con 4.1.2 Arquitectura de Seguridad [op.pl.2].
Conviene no perder de vista el RD ya que el tratamiento de las medidas puede variar dependiendo del nivel del activo.
|
Marco Organizativo |
|
ISO 27001 |
|
Política de seguridad |
org. 1 |
4.2.1 Creación del SGSI |
|
Normativa de seguridad |
org. 2 |
A.7.1.3 Uso Adecuado de los Activos. A.8.2.3 Proceso Disciplinario |
|
Procedimientos de seguridad |
org. 3 |
5.2.2 Concienciación, Formación y Capacitación A.13 Gestión de Incidentes de Seguridad |
|
Proceso de autorización |
org. 4 |
A.6.1.4 Proceso de Autorización de Recursos para el Tratamiento de la Información. A.7.1.3 Uso Adecuado de los Activos A.12 Adquisición, Desarrollo y Mantenimiento de los SS.I A.10.7 Manipulación de Soportes A.11.7 Informática Móvil y Teletrabajo. |
|
Marco Operacional |
|
|
|
Planificación |
op.pl |
|
|
Análisis de Riesgos |
op.pl. 1 |
4.2.1 Creación del SGSI (Cuidado con categoría ALTA) |
|
Arquitectura de seguridad |
op.pl. 2 |
A.10.1.1 Documentación de Procedimientos de Operación A.10.7.4 Seguridad de la Documentación A.11 Control de Acceso A.12.2 Tratamiento Correcto de Aplicaciones. |
|
Adquisición de nuevos componentes |
op.pl. 3 |
A.6.1.4 Proceso de Autorización de Recursos para el Tratamiento de la Información. A.12 Adquisición, Desarrollo y Mantenimiento de los SS.I A.10.3 Planificación y Aceptación del Sistema |
|
Dimensionamiento / Gestion de capacidad |
op.pl. 4 |
A.6.1.4 Proceso de Autorización de Recursos para el Tratamiento de la Información A.10.3 Planificación y Aceptación del Sistema |
|
Componentes certificados |
op.pl. 5 |
Se establece a nivel de política de adquisición. Ver op.pl.3 |
|
Control de Acceso |
op.acc |
A.11 Control de Acceso |
|
Identificación |
op.acc. 1 |
A.11 Control de Acceso |
|
Requisitos de acceso |
op.acc. 2 |
A.11 Control de Acceso |
|
Segregación de funciones y tareas |
op.acc. 3 |
A.10.1.3 Segragación de Funciones A.10.1.4 Segragación de Entornos |
|
Proceso de gestión de derechos de acceso |
op.acc. 4 |
A.11 Control de Acceso A.8 Seguridad Ligada a RR.HH (coordinación con cambio o cese) |
|
Mecanismo de autenticación |
op.acc. 5 |
A.11 Control de Acceso |
|
Acceso local (local logon) |
op.acc. 6 |
A.11 Control de Acceso |
|
Acceso remoto (remote login) |
op.acc. 7 |
A.11 Control de Acceso |
|
Explotación |
op.exp |
|
|
Inventario de activos |
op.exp. 1 |
A.7.1.1 Inventario de Activos |
|
Configuracion de seguridad |
op.exp. 2 |
|
|
Gestión de configuración |
op.exp. 3 |
A.15.2 Cumplimiento de Políticas, Normas y Cump. Técnico |
|
Mantenimiento |
op.exp.4 |
A.9.2.4 Mantenimiento de los Equipos |
|
Gestión de cambios |
op.exp. 5 |
A.10.1.2 Gestión de Cambios A.10.2.3 Gestión de Cambios en Servicios de Terceros A.12.5.1 Procedimientos de Control de Cambios A.12.5.2 Revisión App. Tras Cambios en S. Op. |
|
Protección frente a código dañino |
op.exp. 6 |
A.10.4 Protección Contra Código Malicioso y Código Descargable |
|
op.exp. 7 |
A.13 Gestión de Incidentes de Seg. De la Inf. |
|
|
Registro de actividad de los usuarios |
op.exp. 8 |
A.10.10 Supervisión |
|
Registro de gestión de incidencias |
op.exp. 9 |
A.13 Gestión de Incidentes de Seg. De la Inf. |
|
Protección de los registros de actividad |
op.exp. 10 |
A.10.10.3 Protección de la Información de los Registros |
|
Protección de claves criptográficas |
op.exp. 11 |
A.12.3.2 Gestión de Claves |
|
Servicios Externos |
op.ext |
(A.6.2 Terceros depende del tipo de servicio) |
|
Contratacion y acuerdos de nivel de servicio |
op.ext 1 |
A.10.2 Gestión de la Provisión de Servicios de Terceros. |
|
Gestión diaria |
op.ext 2 |
A.10.2 Gestión de la Provisión de Servicios de Terceros. |
|
Medios alternativos |
op.ext. 3 |
A.14 Gestión de Continuidad de Operaciones |
|
Continuidad de Servicio |
op.cont |
A.14 Gestión de Continuidad de Operaciones |
|
Análisis de impacto |
op.cont. 1 |
A.14 Gestión de Continuidad de Operaciones |
|
Plan de continuidad |
op.cont. 2 |
A.14 Gestión de Continuidad de Operaciones |
|
Pruebas periódicas |
op. cont. 3 |
A.14 Gestión de Continuidad de Operaciones |
|
Monitorización del Sistema |
op.mon |
|
|
Detección de intrusiones |
op.mon. 1 |
A.15.2.2 Comprobación del Cumplimiento Técnico |
|
Sistema de métricas |
op.mon. 2 |
4.2.2-d Implementación y Operación del SGSI 4.2.3-c Supervisión y Revisión del SGSI |
|
Medidas de Protección |
|
|
|
Protección de instalaciones e infraestructuras |
mp.if |
Contemplado por completo en A.9 Seguridad Física y Ambiental |
|
Areas separadas y control de acceso |
mp.if. 1 |
A.9 Seguridad Física y Ambiental |
|
Identificacion de personas |
mp.if. 2 |
A.9 Seguridad Física y Ambiental |
|
Acondicionamiento de los locales |
mp.if. 3 |
A.9 Seguridad Física y Ambiental |
|
Energía eléctrica |
mp.if. 4 |
A.9 Seguridad Física y Ambiental |
|
Protección frente a incendios |
mp.if. 5 |
A.9 Seguridad Física y Ambiental |
|
Proteccion frente a inundaciones |
mp.if. 6 |
A.9 Seguridad Física y Ambiental |
|
Registro de entrada y salida de equipamiento |
mp.if. 7 |
A.9 Seguridad Física y Ambiental |
|
Instalaciones alternativas |
mp.if. 9 |
A.14 Gestión de Continuidad de Operaciones |
|
Gestión de Personal |
mp.per |
Contemplado por completo en A.8 Seguridad Ligada a RR.HH |
|
Caracterizacion del puesto de trabajo |
mp.per. 1 |
En el análisis de riesgos |
|
Deberes y obligaciones |
mp.per. 2 |
A.8 Seguridad Ligada a RR.HH |
|
Concienciación |
mp.per. 3 |
5.2.2 Concienciación, Formación y Capacitación |
|
Formación |
mp.per. 4 |
5.2.2 Concienciación, Formación y Capacitación |
|
Personal alternativo |
mp.per. 9 |
Se puede contemplar en A.14 Gestión de Continuidad de Operaciones |
|
Protección de Equipos |
mp.eq |
|
|
Puesto de trabajo despejado |
mp.eq. 1 |
A.11.3.3 Política de Mesas y Pantallas Limpias. |
|
Bloqueo de puesto de trabajo |
mp.eq. 2 |
A.11.3.2 Equipos Desatendidos |
|
Protección de equipos portátiles |
mp.eq. 3 |
A.11.7.1 Informática Móvil y Comunicaciones |
|
Medios alternativos |
mp.eq. 9 |
A.14 Gestión de Continuidad de Operaciones (si se justifica) |
|
Protección de las Comunicaciones |
mp.com |
|
|
Perímetro seguro |
mp.com. 1 |
A.10.6.2 Seguridad en Servicios de Red |
|
Protección de la confidencialidad |
mp.com. 2 |
A.11.4.7 Control de Encaminamiento A.11.4.5 Segregación de Redes A.12.3 Controles Criptográficos |
|
Protección de la autenticidad e integridad |
mp.com. 3 |
A.12.3 Controles Criptográficos (para garantizarlas) A.11.4.3 Identificación de Equipos en Red |
|
Segregación de redes |
mp.com. 4 |
A.11.4.5 Segregación de Redes |
|
Medios alternativos |
mp.com. 9 |
A.14 Gestión de Continuidad de Operaciones |
|
Protección de los Soportes de Información |
mp.si |
A.10.8 Intercambio de Información |
|
Etiquetado |
mp.si. 1 |
A.7.2.2 Etiquetado y Manipulación de Información |
|
Criptografía |
mp.si. 2 |
A.12.3.1 Política de Uso de Controles Criptográficos |
|
Custodia |
mp.si. 3 |
A.10.8.1 Políticas y Procedimientos de Intercambio de Inf. |
|
Transporte |
mp.si. 4 |
A.10.8.3 Soportes Físicos en Tránsito |
|
Borrado y destrucción |
mp.si. 5 |
A.9.2.5 Seguridad de Equipos Fuera de Instalaciones A.9.2.6 Retirada o Reutilización de Equipos |
|
Protección de las Aplicaciones Informáticas |
mp.sw |
Ampliamente cubierto en A.12 Adquisición, Desarrollo y Mantenimiento de los SS.I |
|
Desarrollo |
mp.sw. 1 |
A.12.1 Requisitos de Seguridad de los SS.I A.12.2 Tratamiento Correcto de las Aplicaciones |
|
Aceptación y puesta en servicio |
mp.sw 2 |
A.10.3 Planificación y Aceptación del Sistema. |
|
Protección de la Información |
mp.info |
|
|
Datos de carácter personal |
mp.info. 1 |
A.15.1.4 Protección de Datos y Privacidad de la Información Personal |
|
Calificación de la información |
mp.info. 2 |
A.7.2 Clasificación de la Información A.15.1.1 Identificación de la Legislación Aplicable |
|
Cifrado |
mp.info. 3 |
A.15.1.1 Identificación de la Legislación Aplicable |
|
Firma electrónica |
mp.info. 4 |
A.15.1.1 Identificación de la Legislación Aplicable A.12.3 Controles Criptográficos. |
|
Sellos de tiempo |
mp.info. 5 |
A.15.1.1 Identificación de la Legislación Aplicable A.12.3 Controles Criptográficos. A.10.10.6 Sincronización de Reloj |
|
Limpieza de documentos |
mp.info. 6 |
Genericamente 4.3.2 Control de Documentos |
|
Copias de seguridad |
mp.info. 9 |
A.10.5 Copias de Seguridad |
|
Proteccion de los Servicios |
mp.s |
|
|
Protección del correo electrónico |
mp.s. 1 |
A.7.1.3 Uso Adecuado de los Activos A.10.8.4 Mensajería Electrónica |
|
Protección de los servicios y aplicaciones WEB |
mp.s. 2 |
A.10.9.3 Información Pública Disponible |
|
Protección frente a denegación de servicio |
mp.s. 8 |
A.10.3 Planificación y Aceptación de Sistemas A.15.2.2 Comprobación del Cumplimiento Técnico |
|
Medios alternativos |
mp.s. 9 |
A.14 Gestión de Continuidad de Operaciones |
