PRINCIPIOS BASICOS. (Capítulo II, Artículos 4 al 9)
- Seguridad Integral: Concebir la seguridad como un proceso que afecta a personas, elementos físicos, organizativos etc.
- Gestión de Riesgos: El análisis y la gestión de riesgos es la base de todo el proceso y debe estar permanentemente actualizado
- Prevención, Reacción y Recuperación: Prevenir para que no ocurra, detectar si ocurre y recuperarse si ha ocurrido la materialización de una amenaza.
- Líneas de Defensa: Diseñar el sistema con múltiples capas
- Revaluación Periódica: Revisión de las medidas tomadas.
- Función diferenciada: Asignación clara de funciones y distinción entre responsable de la información, responsable del servicio y responsable de seguridad.
REQUISITOS MINIMOS. (Capítulo III, Artículos 11 al 26)
- Organización e Implantación del Proceso de Seguridad: La seguridad debe afectar a todos los miembros y debe identificar responsables.
- Análisis y Gestión de Riesgos: Se empleará alguna metodología reconocida internacionalmente, excepto nivel BAJO. (Posible errata pag 8105 donde dice que para nivel bajo no aplica. Luego en 8109 dice que si).
- Gestión de Personal: Personal formado y concienciado con normas claras en materia de seguridad.
- Profesionalidad: Personal cualificado en el diseño, revisión y auditoría de los sistemas de seguridad.
- Autorización y Control de Accesos: Funcionas propias del control del acceso a la información en base a la necesidad de saber.
- Protección de las Instalaciones: Separación de los sistemas, salas cerradas y control de llaves.
- Adquisición de Productos: Se valoran los que tengan certificaciones acordes con su funcionalidad.
- Seguridad por Defecto: Evitar parámetros por defecto en la instalación de sistemas.
- Integridad y Actualización del Sistema: Autorizaciones previas antes de adquisición o instalación y conocimiento en cuanto a vulnerabilidades de productos.
- Protección de la Información Almacenada y en Tránsito: Dispositivos móviles, conservación de documentos electrónicos y protección de información en papel.
- Prevención Ante Otros Sistemas de Información Interconectados: Analizar y tratar riesgos derivados de conexiones con la propia administración o terceros.
- Registro de Actividad: Respetando la legalidad pero permitiendo la trazabilidad de acciones en servicios y sobre datos.
- Incidentes de Seguridad: Establecer un sistema de detección y acción sobre incidentes así como un modelo de aprendizaje.
- Continuidad de la Actividad: Gestión de operaciones ante interrupciones de servicio.
- Mejora Continua del Proceso de Seguridad: Aplicar criterios y métodos reconocidos en la práctica nacional e internacional.
MEDIDAS DE SEGURIDAD
- Marco Organizativo: Conjunto de medidas relacionadas con la organización global de la seguridad.
- Marco Operacional: Medidas a tomar para proteger la operación del sistema como conjunto integral de componentes para un fin.
- Marco de Protección: Conjunto de medidas que se centran en proteger activos concretos, según su naturaleza, con el nivel requerido para cada dimensión de seguridad.
LOS ANEXOS.
- ANEXO I: Esencial comprenderlo para entender el conjunto. En el se establece la categoría de los sistemas en base a las dimensiones de seguridad. Las dimensión de TRAZABILIDAD tanto en datos como en servicios (1) es de vital importancia en la Administración.
- ANEXO II: Son las propias medidas de seguridad organizadas en los tres marcos antes mencionados.
CAPITULOS DE ESPECIAL INTERES.
- CAPITULO IV (Artículos 31 a 33): Dedicado a comunicaciones electrónicas dado lo esencial de las mismas en el contexto de la Ley 11/2007. Inciden especialmente en temas de firma electrónica y sellado de tiempo.
- CAPITULO V (Artículo 34): Establece periodos de auditorias obligatorias bianuales y normas generales del proceso de auditoría.
- CAPITULO VI (Artículo 35): Donde se establece que el Comité Sectorial de Administración Electrónica articulará los procedimientos necesarios para conocer regularmente el estado de las principales variables de la seguridad en los SS de I a los que se refiere el presente RD.
- CAPITULO VII (Artículos 36 y 37): Donde se establece que el CCN-CERT prestará servicios adicionales de respuesta a incidentes independientemente del que puedan implantar las propias Administraciones.
(1) MAGERIT hace distinción entre trazabilidad de datos y servicios.
