[ens:2022] Esquema Nacional de Seguridad (RD 311/2022)

[org] Marco organizativo

[org.1] Política de seguridad

[org.1.1] Los objetivos o misión de la o ...

[org.1.2] El marco legal y regulatorio e ...

[org.1.3] Los roles o funciones de segur ...

[org.1.4] La estructura del comité o los ...

[org.1.5] Las directrices para la estruc ...

[org.2] Normativa de seguridad

[org.2.1] El uso correcto de equipos, se ...

[org.2.2] La responsabilidad del persona ...

[org.2.r1] Refuerzo R1 – Documentos espec ...

[org.2.r1.1] Se dispondrá de una documentac ...

[org.3] Procedimientos de seguridad

[org.3.1] Cómo llevar a cabo las tareas  ...

[org.3.2] Quién debe hacer cada tarea.

[org.3.3] Cómo identificar y reportar co ...

[org.3.4] La forma en que se ha de trata ...

[org.3.r1] Refuerzo R1 – Validación de pr ...

[org.3.r1.1] Se requerirá la validación de  ...

[org.4] Proceso de autorización

[org.4.1] Utilización de instalaciones,  ...

[org.4.2] Entrada de equipos en producci ...

[org.4.3] Entrada de aplicaciones en pro ...

[org.4.4] Establecimiento de enlaces de  ...

[org.4.5] Utilización de medios de comun ...

[org.4.6] Utilización de soportes de inf ...

[org.4.7] Utilización de equipos móviles ...

[org.4.8] Utilización de servicios de te ...

[op] Marco operacional

[op.pl] Planificación

[op.pl.1] Análisis de riesgos

[op.pl.1.1] Identifique los activos más va ...

[op.pl.1.2] Identifique las amenazas más p ...

[op.pl.1.3] Identifique las salvaguardas q ...

[op.pl.1.4] Identifique los principales ri ...

[op.pl.1.r1] Refuerzo R1 – Análisis de ries ...

[op.pl.1.r1.1] Valore cualitativamente los ac ...

[op.pl.1.r1.2] Cuantifique las amenazas más p ...

[op.pl.1.r1.3] Valore las salvaguardas que pr ...

[op.pl.1.r1.4] Valore el riesgo residual.

[op.pl.1.r2] Refuerzo R2 – Análisis de ries ...

[op.pl.1.r2.1] Valore cualitativamente los ac ...

[op.pl.1.r2.2] Cuantifique las amenazas posib ...

[op.pl.1.r2.3] Valore y priorice las salvagua ...

[op.pl.1.r2.4] Valore y asuma formalmente el  ...

[op.pl.2] Arquitectura de seguridad

[op.pl.2.1] Documentación de las instalaci ...

[op.pl.2.2] Documentación del sistema, inc ...

[op.pl.2.3] Esquema de líneas de defensa,  ...

[op.pl.2.4] Sistema de identificación y au ...

[op.pl.2.r1] Refuerzo R1 – Sistema de gesti ...

[op.pl.2.r1.1] Sistema de gestión, relativo a ...

[op.pl.2.r2] Refuerzo R2 – Sistema de gesti ...

[op.pl.2.r2.1] Sistema de gestión de segurida ...

[op.pl.2.r3] Refuerzo R3 – Validación de da ...

[op.pl.2.r3.1] Controles técnicos internos, i ...

[op.pl.3] Adquisición de nuevos componen ...

[op.pl.3.1] Atenderá a las conclusiones de ...

[op.pl.3.2] Será acorde a la arquitectura  ...

[op.pl.3.3] Contemplará las necesidades té ...

[op.pl.4] Dimensionamiento / Gestión de  ...
    [E.24] Caída del sistema por agotamiento de recursos
    [A.24] Denegación de servicio

[op.pl.4.1] Necesidades de procesamiento.

[op.pl.4.2] Necesidades de almacenamiento  ...

[op.pl.4.3] Necesidades de comunicación.

[op.pl.4.4] Necesidades de personal: canti ...

[op.pl.4.5] Necesidades de instalaciones y ...

[op.pl.4.r1] Refuerzo R1 – Mejora continua  ...

[op.pl.4.r1.1] Se realizará una previsión de  ...

[op.pl.4.r1.2] Se emplearán herramientas y re ...

[op.pl.5] Componentes certificados

[op.pl.5.1] Se utilizará el Catálogo de Pr ...

[op.pl.5.2] Si el sistema suministra un se ...

[op.pl.5.r1] Refuerzo R1 – Protección de em ...

[op.pl.5.r1.1] La información deberá ser prot ...

[op.pl.5.r2] Refuerzo R2 - Lista de compone ...

[op.pl.5.r2.1] Cada producto y servicio inclu ...

[op.acc] Control de acceso

[op.acc.1] Identificación
    [A.3] Manipulación de los registros de actividad (log)
    [A.5] Suplantación de la identidad

[op.acc.1.1] Se podrán utilizar como identi ...

[op.acc.1.2] Cuando el usuario tenga difere ...

[op.acc.1.3] Cada entidad (entidad, usuario ...

[op.acc.1.4] Las cuentas de usuario se gest ...

[op.acc.1.5] En los supuestos de comunicaci ...

[op.acc.1.r1] Refuerzo R1 – Identificación a ...

[op.acc.1.r1.1] La identificación del usuario  ...

[op.acc.1.r1.2] Los datos de identificación se ...

[op.acc.1.r1.3] Se asegurará la existencia de  ...

[op.acc.2] Requisitos de acceso
    [E.15] Alteración de la información
    [E.18] Destrucción de la información
    [A.3] Manipulación de los registros de actividad (log)
    [A.11] Acceso no autorizado
    [A.15] Modificación de la información
    [A.18] Destrucción de la información

[op.acc.2.1] Los recursos del sistema se pr ...

[op.acc.2.2] Los derechos de acceso de cada ...

[op.acc.2.3] Particularmente se controlará  ...

[op.acc.2.r1] Refuerzo R1 – Privilegios de a ...

[op.acc.2.r1.1] Todos los usuarios autorizados ...

[op.acc.2.r1.2] Los privilegios de acceso se i ...

[op.acc.2.r2] Refuerzo R2 – Control de acces ...

[op.acc.2.r2.1] Se dispondrá de soluciones que ...

[op.acc.3] Segregación de funciones y tar ...
    [A.3] Manipulación de los registros de actividad (log)
    [A.6] Abuso de privilegios de acceso
    [A.7] Uso no previsto

[op.acc.3.1] Siempre que sea posible, las c ...

[op.acc.3.2] Siempre que sea posible, las p ...

[op.acc.3.r1] Refuerzo R1 – Segregación rigu ...

[op.acc.3.r1.1] Siempre que sea posible, la mi ...

[op.acc.3.r1.2] La misma persona no puede auna ...

[op.acc.3.r2] Refuerzo R2 – Privilegios de a ...

[op.acc.3.r2.1] Existirán cuentas con privileg ...

[op.acc.3.r3] Refuerzo R3 – Acceso a la info ...

[op.acc.3.r3.1] El acceso a la información de  ...

[op.acc.4] Proceso de gestión de derechos ...
    [E.15] Alteración de la información
    [E.18] Destrucción de la información
    [A.3] Manipulación de los registros de actividad (log)
    [A.11] Acceso no autorizado
    [A.15] Modificación de la información
    [A.18] Destrucción de la información

[op.acc.4.1] Todo acceso estará prohibido,  ...

[op.acc.4.2] Mínimo privilegio: los privile ...

[op.acc.4.3] Necesidad de conocer: los priv ...

[op.acc.4.5] Se establecerá una política es ...

[op.acc.5] Mecanismo de autenticación (us ...
    [A.3] Manipulación de los registros de actividad (log)
    [A.5] Suplantación de la identidad

[op.acc.5.1] Antes de proporcionar las cred ...

[op.acc.5.2] Antes de activar el mecanismo  ...

[op.acc.5.3] Las credenciales estarán bajo  ...

[op.acc.5.4] Las credenciales se cambiarán  ...

[op.acc.5.5] Las credenciales serán inhabil ...

[op.acc.5.6] Las credenciales serán inhabil ...

[op.acc.5.7] Antes de autorizar el acceso,  ...

[op.acc.5.8] El número de intentos permitid ...

[op.acc.5.9] El sistema informará al usuari ...

[op.acc.5.r1] Refuerzo R1 – Contraseñas

[op.acc.5.r1.1] Se empleará una contraseña com ...

[op.acc.5.r1.2] Se impondrán normas de complej ...

[op.acc.5.r2] Refuerzo R2 – Contraseña + OTP ...

[op.acc.5.r2.1] Se requerirá una contraseña de ...

[op.acc.5.r3] Refuerzo R3 – Certificados

[op.acc.5.r3.1] Se emplearán certificados cual ...

[op.acc.5.r3.2] El uso del certificado estará  ...

[op.acc.5.r3.3] Las credenciales utilizadas de ...

[op.acc.5.r4] Refuerzo R4 – Certificados en  ...

[op.acc.5.r4.1] Se emplearán certificados cual ...

[op.acc.5.r4.2] El uso del certificado estará  ...

[op.acc.5.r4.3] Las credenciales utilizadas de ...

[op.acc.5.r5] Refuerzo R5 – Registro

[op.acc.5.r5.1] Se registrarán los accesos con ...

[op.acc.5.r5.2] Se informará al usuario del úl ...

[op.acc.5.r6] Refuerzo R6 – Limitación de la ...

[op.acc.5.r6.1] Se definirán aquellos puntos e ...

[op.acc.5.r7] Refuerzo R7 – Suspensión por n ...

[op.acc.5.r7.1] Las credenciales se suspenderá ...

[op.acc.6] Mecanismo de autenticación (us ...
    [A.3] Manipulación de los registros de actividad (log)
    [A.5] Suplantación de la identidad

[op.acc.6.1] Antes de proporcionar las cred ...

[op.acc.6.2] Antes de activar el mecanismo  ...

[op.acc.6.3] Las credenciales estarán bajo  ...

[op.acc.6.4] Las credenciales se cambiarán  ...

[op.acc.6.5] Las credenciales serán inhabil ...

[op.acc.6.6] Las credenciales serán inhabil ...

[op.acc.6.7] Antes de autorizar el acceso,  ...

[op.acc.6.8] El número de intentos permitid ...

[op.acc.6.9] El sistema informará al usuari ...

[op.acc.6.r1] Refuerzo R1 – Contraseñas

[op.acc.6.r1.1] Se empleará una contraseña com ...

[op.acc.6.r1.2] Se impondrán normas de complej ...

[op.acc.6.r2] Refuerzo R2 – Contraseña + otr ...

[op.acc.6.r2.1] Se requerirá un segundo factor ...

[op.acc.6.r3] Refuerzo R3 – Certificados

[op.acc.6.r3.1] Se emplearán certificados cual ...

[op.acc.6.r3.2] El uso del certificado estará  ...

[op.acc.6.r4] Refuerzo R4 – Certificados en  ...

[op.acc.6.r4.1] Se emplearán certificados como ...

[op.acc.6.r4.2] El uso del certificado estará  ...

[op.acc.6.r5] Refuerzo R5 – Registro

[op.acc.6.r5.1] Se registrarán los accesos con ...

[op.acc.6.r5.2] Se informará al usuario del úl ...

[op.acc.6.r6] Refuerzo R6 – Limitación de la ...

[op.acc.6.r6.1] Se definirán aquellos puntos e ...

[op.acc.6.r7] Refuerzo R7 – Suspensión por n ...

[op.acc.6.r7.1] Las credenciales se suspenderá ...

[op.acc.6.r8] Refuerzo R8 – Doble factor par ...

[op.acc.6.r8.1] Para el acceso desde o a travé ...

[op.acc.6.r9] Refuerzo R9 – Acceso remoto

[op.acc.6.r9.1] Será de aplicación la ITS de I ...

[op.acc.6.r9.2] El acceso remoto deberá consid ...

[op.exp] Explotación

[op.exp.1] Inventario de activos

[op.exp.1.1] Se mantendrá un inventario act ...

[op.exp.1.r1] Refuerzo R1 – Inventario de et ...

[op.exp.1.r1.1] El etiquetado del equipamiento ...

[op.exp.1.r2] Refuerzo R2 – Identificación p ...

[op.exp.1.r2.1] Se dispondrá de herramientas q ...

[op.exp.1.r3] Refuerzo R3 – Identificación d ...

[op.exp.1.r3.1] Se dispondrá de herramientas q ...

[op.exp.1.r4] Refuerzo R4 – Lista de compone ...

[op.exp.1.r4.1] Se mantendrá actualizada una r ...

[op.exp.2] Configuración de seguridad
    [E.3] Errores de monitorización (log)
    [E.4] Errores de configuración
    [E.9] Errores de [re-]encaminamiento
    [E.10] Errores de secuencia
    [A.3] Manipulación de los registros de actividad (log)
    [A.4] Manipulación de los ficheros de configuración
    [A.9] [Re-]encaminamiento de mensajes
    [A.10] Alteración de secuencia

[op.exp.2.1] Se retiren cuentas y contraseñ ...

[op.exp.2.2] Se aplicará la regla de "mínim ...

[op.exp.2.3] Se aplicará la regla de "segur ...

[op.exp.2.4] Las máquinas virtuales estarán ...

[op.exp.3] Gestión de la configuración de ...
    [E.3] Errores de monitorización (log)
    [E.4] Errores de configuración
    [E.9] Errores de [re-]encaminamiento
    [E.10] Errores de secuencia
    [A.3] Manipulación de los registros de actividad (log)
    [A.4] Manipulación de los ficheros de configuración

[op.exp.3.1] Se mantenga en todo momento la ...

[op.exp.3.2] Se mantenga en todo momento la ...

[op.exp.3.3] El sistema se adapte a las nue ...

[op.exp.3.4] El sistema reaccione a vulnera ...

[op.exp.3.5] El sistema reaccione a inciden ...

[op.exp.3.6] La configuración de seguridad  ...

[op.exp.3.r1] Refuerzo R1 – Mantenimiento re ...

[op.exp.3.r1.1] Existirán configuraciones hard ...

[op.exp.3.r1.2] Se verificará periódicamente l ...

[op.exp.3.r1.3] Se mantendrá una lista de serv ...

[op.exp.3.r2] Refuerzo R2 – Responsabilidad  ...

[op.exp.3.r2.1] La configuración de seguridad  ...

[op.exp.3.r3] Refuerzo R3 – Copias de seguri ...

[op.exp.3.r3.1] Se realizarán copias de seguri ...

[op.exp.3.r4] Refuerzo R4 – Aplicación de la ...

[op.exp.3.r4.1] La configuración de seguridad  ...

[op.exp.3.r5] Refuerzo R5 – Control del esta ...

[op.exp.3.r5.1] Se dispondrá de soluciones que ...

[op.exp.4] Mantenimiento y actualizacione ...
    [I.5] Avería de origen físico o lógico
    [E.21] Errores de mantenimiento / actualización de programas (software)
    [E.23] Errores de mantenimiento / actualización de equipos (hardware)

[op.exp.4.1] Se atenderá a las especificaci ...

[op.exp.4.2] Se dispondrá de un procedimien ...

[op.exp.4.3] El mantenimiento solamente pod ...

[op.exp.4.r1] Refuerzo R1 – Pruebas en prepr ...

[op.exp.4.r1.1] Antes de poner en producción u ...

[op.exp.4.r2] Refuerzo R2 – Prevención de fa ...

[op.exp.4.r2.1] Antes de la aplicación de las  ...

[op.exp.4.r3] Refuerzo R3 – Actualizaciones  ...

[op.exp.4.r3.1] Se deberá comprobar de forma p ...

[op.exp.4.r4] Refuerzo R4 - Monitorización c ...

[op.exp.4.r4.1] Se desplegará a nivel de siste ...

[op.exp.4.r4.1.1] Los indicadores críticos de se ...

[op.exp.4.r4.1.2] La política de aplicación de p ...

[op.exp.4.r4.1.3] Los criterios de revisión regu ...

[op.exp.5] Gestión de cambios
    [I.5] Avería de origen físico o lógico
    [E.21] Errores de mantenimiento / actualización de programas (software)
    [E.23] Errores de mantenimiento / actualización de equipos (hardware)
    [A.22] Manipulación de programas

[op.exp.5.1] Los cambios se planificarán pa ...

[op.exp.5.2] La información a registrar par ...

[op.exp.5.3] Las pruebas de preproducción,  ...

[op.exp.5.4] Mediante análisis de riesgos s ...

[op.exp.5.5] Una vez implementado el cambio ...

[op.exp.5.r1] Refuerzo R1 – Prevención de fa ...

[op.exp.5.r1.1] Antes de la aplicación de los  ...

[op.exp.5.r1.2] Todos los fallos en el softwar ...

[op.exp.5.r1.3] Todos los cambios en el sistem ...

[op.exp.6] Protección frente a código dañ ...
    [E.8] Difusión de software dañino
    [A.3] Manipulación de los registros de actividad (log)
    [A.8] Difusión de software dañino

[op.exp.6.1] Se dispondrá de mecanismos de  ...

[op.exp.6.2] Se instalará software de prote ...

[op.exp.6.3] Todo fichero procedente de fue ...

[op.exp.6.4] Las bases de datos de detecció ...

[op.exp.6.5] El software de detección de có ...

[op.exp.6.r1] Refuerzo R1 – Escaneo periódic ...

[op.exp.6.r1.1] Todo el sistema se escaneará r ...

[op.exp.6.r2] Refuerzo R2 – Revisión prevent ...

[op.exp.6.r2.1] Las funciones críticas se anal ...

[op.exp.6.r3] Refuerzo R3 – Lista blanca

[op.exp.6.r3.1] Solamente se podrán ejecutar a ...

[op.exp.6.r4] Refuerzo R4 – Capacidad de res ...

[op.exp.6.r4.1] Se emplearán herramientas de s ...

[op.exp.6.r5] Refuerzo R5 – Configuración de ...

[op.exp.6.r5.1] El software de detección de có ...

[op.exp.6.r5.2] El software de detección de có ...

[op.exp.7] Gestión de incidentes
    [I.5] Avería de origen físico o lógico

[op.exp.7.1] Se dispondrá de un proceso int ...

[op.exp.7.2] La gestión de incidentes que a ...

[op.exp.7.r1] Refuerzo R1 – Notificación

[op.exp.7.r1.1] Se dispondrá de soluciones de  ...

[op.exp.7.r2] Refuerzo R2 –  Detección y Res ...

[op.exp.7.r2.1] Implantación de medidas urgent ...

[op.exp.7.r2.2] Asignación de recursos para in ...

[op.exp.7.r2.3] Informar a los responsables de ...

[op.exp.7.r2.4] Medidas para:

[op.exp.7.r3] Refuerzo R3 – Reconfiguración  ...

[op.exp.7.r3.1] La reconfiguración dinámica in ...

[op.exp.7.r3.2] El organismo adaptará los proc ...

[op.exp.7.r4] Refuerzo R4 – Prevención y Res ...

[op.exp.7.r4.1] Se dispondrá de herramientas q ...

[op.exp.8] Registro de la actividad
    [A.3] Manipulación de los registros de actividad (log)
    [A.13] Repudio (negación de actuaciones)

[op.exp.8.1] Se generará un registro de aud ...

[op.exp.8.2] Se activarán los registros de  ...

[op.exp.8.r1] Refuerzo R1 – Revisión de los  ...

[op.exp.8.r1.1] Se revisarán informalmente, de ...

[op.exp.8.r2] Refuerzo R2 – Sincronización d ...

[op.exp.8.r2.1] El Sistema deberá disponer de  ...

[op.exp.8.r3] Refuerzo R3 – Retención de reg ...

[op.exp.8.r3.1] En la documentación de segurid ...

[op.exp.8.r4] Refuerzo R4 – Control de acces ...

[op.exp.8.r4.1] Los registros de actividad y,  ...

[op.exp.8.r5] Refuerzo R5 – Revisión automát ...

[op.exp.8.r5.1] El Sistema deberá implementar  ...

[op.exp.8.r5.2] Se dispondrá de un sistema aut ...

[op.exp.9] Registro de la gestión de inci ...

[op.exp.9.1] Se registrarán los reportes in ...

[op.exp.9.2] Se registrará aquella evidenci ...

[op.exp.9.3] Como consecuencia del análisis ...

[op.exp.10] Protección de claves criptográ ...

[op.exp.10.1] Las claves criptográficas se p ...

[op.exp.10.2] Los medios de generación estar ...

[op.exp.10.3] Las claves retiradas de operac ...

[op.exp.10.r1] Refuerzo R1 – Algoritmos autor ...

[op.exp.10.r1.1] Se emplearán algoritmos y pará ...

[op.exp.10.r2] Refuerzo R2 – Protección avanz ...

[op.exp.10.r2.1] Se emplearán cifradores que cu ...

[op.ext] Recursos externos

[op.ext.1] Contratación y acuerdos de niv ...

[op.ext.1.1] Con anterioridad a la efectiva ...

[op.ext.2] Gestión diaria

[op.ext.2.1] Un sistema rutinario para medi ...

[op.ext.2.2] El mecanismo y los procedimien ...

[op.ext.3] Protección de la cadena de sum ...

[op.ext.3.1] Se analizará el impacto que pu ...

[op.ext.3.2] Se estimará el riesgo sobre el ...

[op.ext.3.3] Se tomarán medidas de contenci ...

[op.ext.3.r1] Refuerzo R1 – Plan de continge ...

[op.ext.3.r1.1] El plan de continuidad de la o ...

[op.ext.3.r1.2] Se realizan pruebas o ejercici ...

[op.ext.3.r2] Refuerzo R2 – Sistema de gesti ...

[op.ext.3.r2.1] Se implementará un sistema de  ...

[op.ext.3.r3] Refuerzo R3 – Lista de compone ...

[op.ext.3.r3.1] Se mantendrá actualizado un re ...

[op.ext.4] Interconexión de sistemas

[op.ext.4.1] Todos los intercambios de info ...

[op.ext.4.2] Para cada interconexión se doc ...

[op.ext.4.r1] Refuerzo R1 – Coordinación de  ...

[op.ext.4.r1.1] Cuando se interconecten sistem ...

[op.nub] Servicios en la nube

[op.nub.1] Protección de servicios en la  ...

[op.nub.1.1] Los sistemas que suministran u ...

[op.nub.1.2] Cuando se utilicen servicios e ...

[op.nub.1.r1] Refuerzo R1 – Servicios certif ...

[op.nub.1.r1.1] Cuando se utilicen servicios e ...
    [SR] Services risks (cloud services, services provided by 3rd parties)

[op.nub.1.r1.2] Si el servicio en la nube es u ...

[op.nub.1.r2] Refuerzo R2 – Guías de Configu ...

[op.nub.1.r2.1] La configuración de seguridad  ...

[op.cont] Continuidad del servicio

[op.cont.1] Análisis de impacto
    [I.8] Fallo de servicios de comunicaciones
    [I.9] Interrupción de otros servicios o suministros esenciales

[op.cont.1.1] Se realizará un análisis de im ...

[op.cont.2] Plan de continuidad
    [I.8] Fallo de servicios de comunicaciones
    [I.9] Interrupción de otros servicios o suministros esenciales
    [A.28] Indisponibilidad del personal

[op.cont.2.1] Se identificarán funciones, re ...

[op.cont.2.2] Existirá una previsión para co ...

[op.cont.2.3] Todos los medios alternativos  ...

[op.cont.2.4] Las personas afectadas por el  ...

[op.cont.2.5] El plan de continuidad será pa ...

[op.cont.2.r1] Refuerzo R1 – Plan de emergenc ...

[op.cont.2.r1.1] Cuando se determine la necesid ...

[op.cont.2.r2] Refuerzo R2 – Comprobación de  ...

[op.cont.2.r2.1] Ante una caída o discontinuida ...

[op.cont.3] Pruebas periódicas
    [I.8] Fallo de servicios de comunicaciones
    [I.9] Interrupción de otros servicios o suministros esenciales

[op.cont.3.1] Se realizarán pruebas periódic ...

[op.cont.4] Medios alternativos
    [I.8] Fallo de servicios de comunicaciones
    [I.9] Interrupción de otros servicios o suministros esenciales
    [A.28] Indisponibilidad del personal

[op.cont.4.1] Estará prevista la disponibili ...

[op.cont.4.2] Se establecerá un tiempo máxim ...
    [E.28] Indisponibilidad del personal
    [A.28] Indisponibilidad del personal

[op.cont.4.3] Los medios alternativos estará ...
    [E.28] Indisponibilidad del personal
    [A.28] Indisponibilidad del personal

[op.cont.4.r1] Refuerzo R1 – Automatización d ...

[op.cont.4.r1.1] El sistema dispondrá de elemen ...

[op.mon] Monitorización del sistema

[op.mon.1] Detección de intrusión

[op.mon.1.1] Se dispondrá de herramientas d ...

[op.mon.1.r1] Refuerzo R1 – Detección basada ...

[op.mon.1.r1.1] El sistema dispondrá de herram ...

[op.mon.1.r2] Refuerzo R2 – Procedimientos d ...

[op.mon.1.r2.1] Existirán procedimientos de re ...

[op.mon.1.r3] Refuerzo R3 – Acciones predete ...

[op.mon.1.r3.1] El Sistema ejecutará automátic ...

[op.mon.2] Sistema de métricas

[op.mon.2.1] Atendiendo a la categoría de s ...

[op.mon.2.r1] Refuerzo R1 – Efectividad del  ...

[op.mon.2.r1.1] Se recopilarán los datos preci ...

[op.mon.2.r2] Refuerzo R2 – Eficiencia del s ...

[op.mon.2.r2.1] Se recopilarán los datos preci ...

[op.mon.3] Vigilancia
    [E.20] Vulnerabilidades de los programas (software)

[op.mon.3.1] Se dispondrá de un sistema aut ...

[op.mon.3.r1] Refuerzo R1 – Correlación de e ...

[op.mon.3.r1.1] Se dispondrá de un sistema aut ...

[op.mon.3.r2] Refuerzo R2 – Análisis dinámic ...

[op.mon.3.r2.1] Se dispondrá de soluciones  de ...

[op.mon.3.r3] Refuerzo R3 – Ciberamenazas av ...

[op.mon.3.r3.1] Se dispondrá de sistemas  para ...

[op.mon.3.r3.2] Se dispondrá de sistemas para  ...

[op.mon.3.r4] Refuerzo R4 – Observatorios di ...

[op.mon.3.r4.1] Se dispondrá de observatorios  ...

[op.mon.3.r5] Refuerzo R5 – Minería de datos ...

[op.mon.3.r5.1] Limitación de las consultas, m ...

[op.mon.3.r5.2] Alerta a los administradores d ...

[op.mon.3.r6] Refuerzo R6 – Inspecciones de  ...

[op.mon.3.r6.1] Verificación de configuración. ...

[op.mon.3.r6.2] Análisis de vulnerabilidades.

[op.mon.3.r6.3] Pruebas de penetración.

[op.mon.3.r7] Refuerzo R7 – Interconexiones

[op.mon.3.r7.1] En las interconexiones que lo  ...

[mp] Medidas de protección

[mp.if] Protección de las instalacione ...

[mp.if.1] Áreas separadas y con control  ...
    [N] Desastres naturales
    [I.7] Condiciones inadecuadas de temperatura o humedad
    [E.19] Fugas de información
    [A.3] Manipulación de los registros de actividad (log)
    [A.11] Acceso no autorizado
    [A.23] Manipulación del hardware
    [A.25] Robo de equipos
    [A.26] Ataque destructivo
    [A.27] Ocupación enemiga
    [A.55] Introducción de objetos (a través del perímetro físico)
    [A.56] Retirada de objetos (a través del perímetro físico)
    [A.57] Acceso no autorizado (a través del perímetro físico)
    [A.58] Destrucción del perímetro físico
    [A.60] Fuga de emanaciones TEMPEST

[mp.if.1.1] El equipamiento del Centro de  ...
    [N] Desastres naturales
    [I.7] Condiciones inadecuadas de temperatura o humedad
    [E.19] Fugas de información
    [A.3] Manipulación de los registros de actividad (log)
    [A.11] Acceso no autorizado
    [A.25] Robo de equipos
    [A.26] Ataque destructivo
    [A.27] Ocupación enemiga

[mp.if.1.2] Se controlarán los accesos a l ...
    [E.19] Fugas de información
    [A.3] Manipulación de los registros de actividad (log)
    [A.11] Acceso no autorizado
    [A.25] Robo de equipos
    [A.26] Ataque destructivo
    [A.27] Ocupación enemiga

[mp.if.2] Identificación de las personas ...

[mp.if.2.1] El procedimiento de control de ...
    [E.19] Fugas de información
    [A.3] Manipulación de los registros de actividad (log)
    [A.11] Acceso no autorizado
    [A.25] Robo de equipos
    [A.26] Ataque destructivo
    [A.27] Ocupación enemiga

[mp.if.3] Acondicionamiento de los local ...
    [N.1] Fuego
    [N.2] Daños por agua
    [N.*] Desastres naturales
    [I.1] Fuego
    [I.2] Daños por agua
    [I.*] Desastres industriales
    [I.3] Contaminación medioambiental
    [I.4] Contaminación electromagnética

[mp.if.3.1] Las condiciones de temperatura ...
    [I.7] Condiciones inadecuadas de temperatura o humedad

[mp.if.3.2] La protección frente a las ame ...

[mp.if.3.3] La protección del cableado fre ...

[mp.if.4] Energía eléctrica
    [I.6] Corte del suministro eléctrico

[mp.if.4.1] Los locales donde se ubiquen l ...

[mp.if.4.r1] Refuerzo R1 – Suministro eléct ...

[mp.if.4.r1.1] En caso de fallo del suministr ...

[mp.if.5] Protección frente a incendios
    [N.1] Fuego
    [I.1] Fuego

[mp.if.5.1] Los locales donde se ubiquen l ...

[mp.if.6] Protección frente a inundacion ...
    [N.2] Daños por agua
    [I.2] Daños por agua

[mp.if.6.1] Los locales donde se ubiquen l ...

[mp.if.7] Registro de entrada y salida d ...
    [E.25] Pérdida de equipos
    [A.25] Robo de equipos
    [A.55] Introducción de objetos (a través del perímetro físico)
    [A.56] Retirada de objetos (a través del perímetro físico)

[mp.if.7.1] Se llevará un registro pormeno ...

[mp.per] Gestión del personal

[mp.per.1] Caracterización del puesto de  ...
    [E.7] Deficiencias en la organización
    [A.19] Revelación de información
    [A.40] Incumplimiento (leyes, reglamentos, normas, ...)

[mp.per.1.1] Para cada puesto de trabajo, r ...

[mp.per.1.2] Se definirán los requisitos qu ...

[mp.per.1.r1] Refuerzo R1 – Habilitación Per ...

[mp.per.1.r1.1] Los administradores de segurid ...

[mp.per.2] Deberes y obligaciones
    [E.7] Deficiencias en la organización
    [A.3] Manipulación de los registros de actividad (log)
    [A.19] Revelación de información
    [A.31] Distracción
    [A.40] Incumplimiento (leyes, reglamentos, normas, ...)

[mp.per.2.1] Las medidas disciplinarias a q ...

[mp.per.2.2] Tanto el periodo durante el cu ...

[mp.per.2.3] El deber de confidencialidad r ...

[mp.per.2.4] En caso de personal contratado ...

[mp.per.2.4.1] Se establecerán los deberes y  ...

[mp.per.2.4.2] Se establecerá el procedimient ...

[mp.per.2.r1] Refuerzo R1 – Confirmación exp ...

[mp.per.2.r1.1] Se ha de obtener la confirmaci ...

[mp.per.3] Concienciación
    [E.1] Errores de los usuarios
    [E.2] Errores del administrador del sistema / de la seguridad
    [E.7] Deficiencias en la organización
    [A.3] Manipulación de los registros de actividad (log)
    [A.19] Revelación de información
    [A.29] Extorsión
    [A.30] Ingeniería social (picaresca)
    [A.31] Distracción
    [A.40] Incumplimiento (leyes, reglamentos, normas, ...)

[mp.per.3.1] La normativa de seguridad rela ...

[mp.per.3.2] La identificación de incidente ...

[mp.per.3.3] El procedimiento de reporte de ...

[mp.per.4] Formación
    [E.2] Errores del administrador del sistema / de la seguridad
    [E.4] Errores de configuración
    [E.7] Deficiencias en la organización
    [A.3] Manipulación de los registros de actividad (log)
    [A.19] Revelación de información
    [A.29] Extorsión
    [A.30] Ingeniería social (picaresca)
    [A.31] Distracción
    [A.40] Incumplimiento (leyes, reglamentos, normas, ...)

[mp.per.4.1] Se formará regularmente al per ...

[mp.eq] Protección de los equipos

[mp.eq.1] Puesto de trabajo despejado

[mp.eq.1.1] Los puestos de trabajo permane ...

[mp.eq.1.r1] Refuerzo R1 – Almacenamiento d ...

[mp.eq.1.r1.1] Una vez usado, y siempre que s ...

[mp.eq.2] Bloqueo de puesto de trabajo

[mp.eq.2.1] El puesto de trabajo se bloque ...

[mp.eq.2.r1] Refuerzo R1 – Cierre de sesion ...

[mp.eq.2.r1.1] Pasado un cierto tiempo, super ...

[mp.eq.3] Protección de equipos portátil ...
    [E.25] Pérdida de equipos
    [A.23] Manipulación del hardware
    [A.25] Robo de equipos

[mp.eq.3.1] Se llevará un inventario de eq ...

[mp.eq.3.2] Se establecerá un procedimient ...

[mp.eq.3.3] Cuando un dispositivo portátil ...

[mp.eq.3.4] Se evitará, en la medida de lo ...

[mp.eq.3.r1] Refuerzo R1 – Cifrado del disc ...

[mp.eq.3.r1.1] Se protegerá el dispositivo po ...

[mp.eq.3.r2] Refuerzo R2 – Entornos protegi ...

[mp.eq.3.r2.1] El uso de dispositivos portáti ...

[mp.eq.4] Otros dispositivos conectados  ...

[mp.eq.4.1] Los dispositivos presentes en  ...

[mp.eq.4.2] Los dispositivos presentes en  ...

[mp.eq.4.r1] Refuerzo R1 – Productos certif ...

[mp.eq.4.r1.1] Se usarán, cuando sea posible, ...

[mp.eq.4.r2] Refuerzo R2 – Control de dispo ...

[mp.eq.4.r2.1] Se dispondrá de soluciones que ...

[mp.com] Protección de las comunicacion ...

[mp.com.1] Perímetro seguro
    [E.19] Fugas de información
    [A.14] Interceptación de información (escucha)
    [A.51] Inyección de código malicioso (a través de una frontera lógica)
    [A.52] Extracción de información (a través de una frontera lógica)
    [A.53] Acceso no autorizado (a través de una frontera lógica)

[mp.com.1.1] Se dispondrá un sistema de pro ...

[mp.com.1.2] Todos los flujos de informació ...

[mp.com.2] Protección de la confidenciali ...
    [A.3] Manipulación de los registros de actividad (log)
    [A.14] Interceptación de información (escucha)

[mp.com.2.1] Se emplearán redes privadas vi ...

[mp.com.2.r1] Refuerzo R1 – Algoritmos y par ...

[mp.com.2.r1.1] Se emplearán algoritmos y pará ...

[mp.com.2.r2] Refuerzo R2 – Dispositivos har ...

[mp.com.2.r2.1] Se emplearán, dispositivos har ...

[mp.com.2.r3] Refuerzo R3 – Productos certif ...

[mp.com.2.r3.1] Se usarán productos o servicio ...

[mp.com.2.r4] Refuerzo R4 – Cifradores

[mp.com.2.r4.1] Se emplearán cifradores que cu ...

[mp.com.2.r5] Refuerzo R5-Cifrado de informa ...

[mp.com.2.r5.1] Se cifrará toda la información ...

[mp.com.3] Protección de la integridad y  ...
    [A.3] Manipulación de los registros de actividad (log)
    [A.10] Alteración de secuencia
    [A.15] Modificación de la información

[mp.com.3.1] En comunicaciones con puntos e ...

[mp.com.3.2] Se prevendrán ataques activos  ...

[mp.com.3.3] Se aceptará cualquier mecanism ...

[mp.com.3.r1] Refuerzo R1 – Redes privadas v ...

[mp.com.3.r1.1] Se emplearán redes privadas vi ...

[mp.com.3.r2] Refuerzo R2 – Algoritmos y par ...

[mp.com.3.r2.1] Se emplearán algoritmos y pará ...

[mp.com.3.r3] Refuerzo R3 – Dispositivos har ...

[mp.com.3.r3.1] Se recomienda emplear disposit ...

[mp.com.3.r4] Refuerzo R4 – Productos certif ...

[mp.com.3.r4.1] Se emplearán productos certifi ...

[mp.com.3.r5] Refuerzo R5 – Cifradores

[mp.com.3.r5.1] Se emplearán cifradores que cu ...

[mp.com.4] Separación de flujos de inform ...
    [E.8] Difusión de software dañino
    [E.14] Fugas de información (> E.19)
    [E.15] Alteración de la información
    [E.19] Fugas de información
    [A.7] Uso no previsto
    [A.8] Difusión de software dañino
    [A.12] Análisis de tráfico

[mp.com.4.1] El tráfico por la red se segre ...

[mp.com.4.2] Si se emplean comunicaciones i ...

[mp.com.4.r1] Refuerzo R1 – Segmentación lóg ...

[mp.com.4.r1.1] Los segmentos de red se implem ...

[mp.com.4.r1.2] [mp.com.4.2] La red que confor ...

[mp.com.4.r2] Refuerzo R2 – Segmentación lóg ...

[mp.com.4.r2.1] Los segmentos de red se implem ...

[mp.com.4.r3] Refuerzo R3 – Segmentación fís ...

[mp.com.4.r3.1] Los segmentos de red se implem ...

[mp.com.4.r4] Refuerzo R4 – Puntos de interc ...

[mp.com.4.r4.1] Control de entrada de los usua ...

[mp.com.4.r4.2] El punto de interconexión esta ...

[mp.si] Protección de los soportes de  ...

[mp.si.1] Marcado de soportes

[mp.si.1.1] Los soportes de información (p ...

[mp.si.1.r1] Refuerzo R1 – Marca de agua di ...

[mp.si.1.r1.1] La política de seguridad de la ...

[mp.si.1.r1.2] Los soportes de información di ...

[mp.si.1.r1.3] Los equipos o dispositivos a t ...

[mp.si.2] Criptografía

[mp.si.2.1] Se usarán mecanismos criptográ ...

[mp.si.2.2] Se emplearán algoritmos y pará ...

[mp.si.2.r1] Refuerzo R1 – Productos certif ...

[mp.si.2.r1.1] Se emplearán, preferentemente, ...

[mp.si.2.r2] Refuerzo R2 – Copias de seguri ...

[mp.si.2.r2.1] Las copias se seguridad se cif ...

[mp.si.3] Custodia
    [I.10] Degradación de los soportes de almacenamiento de la información

[mp.si.3.1] Se aplicará la debida diligenc ...

[mp.si.3.2] Se respetarán las exigencias d ...

[mp.si.4] Transporte

[mp.si.4.1] Se dispondrá de un registro de ...

[mp.si.4.2] Se dispondrá de un procedimien ...

[mp.si.4.3] Se utilizarán los medios de pr ...

[mp.si.4.4] Se gestionarán las claves segú ...

[mp.si.5] Borrado y destrucción

[mp.si.5.1] Los soportes que vayan a ser r ...

[mp.si.5.r1] Refuerzo R1 – Productos certif ...

[mp.si.5.r1.1] Se usarán productos o servicio ...

[mp.si.5.r2] Refuerzo R2 – Destrucción de s ...

[mp.si.5.r2.1] Una vez finalizado el ciclo de ...

[mp.sw] Protección de las aplicaciones ...

[mp.sw.1] Desarrollo de aplicaciones

[mp.sw.1.1] El desarrollo de aplicaciones  ...

[mp.sw.1.r1] Refuerzo R1 – Mínimo privilegi ...

[mp.sw.1.r1.1] Las aplicaciones se desarrolla ...

[mp.sw.1.r2] Refuerzo R2 – Metodología de d ...

[mp.sw.1.r2.1] Se aplicará una metodología de ...

[mp.sw.1.r3] Refuerzo R3 – Seguridad desde  ...

[mp.sw.1.r3.1] Los siguientes elementos serán ...

[mp.sw.1.r4] Refuerzo R4 – Datos de pruebas ...

[mp.sw.1.r4.1] Preferiblemente, las pruebas p ...

[mp.sw.1.r5] Refuerzo R5 – Lista de compone ...

[mp.sw.1.r5.1] El desarrollador elaborará y m ...

[mp.sw.2] Aceptación y puesta en servici ...

[mp.sw.2.1] Se comprobará que:

[mp.sw.2.r1] Refuerzo R1 - Pruebas

[mp.sw.2.r1.1] Las pruebas se realizarán en u ...

[mp.sw.2.r2] Refuerzo R2 – Inspección de có ...

[mp.sw.2.r3.1] Se realizará una auditoría de  ...

[mp.info] Protección de la información

[mp.info.1] Datos personales

[mp.info.1.1] Cuando el sistema trate datos  ...

[mp.info.2] Calificación de la información ...

[mp.info.2.1] Para calificar la información  ...

[mp.info.2.2] La política de seguridad estab ...

[mp.info.2.3] La política de seguridad recog ...

[mp.info.2.4] El responsable de cada informa ...

[mp.info.2.5] El responsable de cada informa ...

[mp.info.3] Firma electrónica

[mp.info.3.1] Se empleará cualquier tipo de  ...

[mp.info.3.r1] Refuerzo R1 – Certificados cua ...

[mp.info.3.r1.1] Cuando se empleen sistemas de  ...

[mp.info.3.r2] Refuerzo R2 – Algoritmos y par ...

[mp.info.3.r2.1] Se emplearán algoritmos y pará ...

[mp.info.3.r3] Refuerzo R3 – Verificación y v ...

[mp.info.3.r3.1] Cuando proceda, se garantizará ...

[mp.info.3.r4] Refuerzo R4 – Firma electrónic ...

[mp.info.3.r4.1] Se usará firma electrónica ava ...

[mp.info.3.r5] Refuerzo R5 – Firma electrónic ...

[mp.info.3.r5.1] Se usará firma electrónica cua ...

[mp.info.4] Sellos de tiempo

[mp.info.4.1] Los sellos de tiempo se aplica ...

[mp.info.4.2] Los datos pertinentes para la  ...

[mp.info.4.3] Se renovarán regularmente los  ...

[mp.info.4.4] Se emplearán "sellos cualifica ...

[mp.info.4.r1] Refuerzo R1 – Productos certif ...

[mp.info.4.r1.1] Se utilizarán productos certif ...

[mp.info.4.r1.2] Se asignará una fecha y hora a ...

[mp.info.5] Limpieza de documentos

[mp.info.5.1] En el proceso de limpieza de d ...

[mp.info.6] Copias de seguridad (backup)

[mp.info.6.1] Se realizarán copias de seguri ...

[mp.info.6.2] Los procedimientos de respaldo ...

[mp.info.6.r1] Refuerzo R1 – Pruebas de recup ...

[mp.info.6.r1.1] Los procedimientos de copia de ...

[mp.info.6.r2] Refuerzo R2 – Protección de la ...

[mp.info.6.r2.1] Al menos una de las copias de  ...

[mp.s] Protección de los servicios

[mp.s.1] Protección del correo electrón ...
    [A.8] Difusión de software dañino
    [A.30] Ingeniería social (picaresca)

[mp.s.1.1] La información distribuida por ...

[mp.s.1.2] Se protegerá la información de ...

[mp.s.1.3] Correo no solicitado, en su ex ...

[mp.s.1.4] Código dañino, constituidos po ...

[mp.s.1.5] Código móvil de tipo micro-apl ...

[mp.s.1.6] Limitaciones al uso como sopor ...

[mp.s.1.7] Actividades de concienciación  ...

[mp.s.2] Protección de servicios y apli ...

[mp.s.2.1] Cuando la información requiera ...

[mp.s.2.2] Se prevendrán intentos de esca ...

[mp.s.2.3] Se prevendrán ataques de "cros ...

[mp.s.2.r1] Refuerzo R1 – Auditorías de se ...

[mp.s.2.r1.1] Se realizaran auditorías conti ...

[mp.s.2.r1.2] La frecuencia de estas auditor ...

[mp.s.2.r2] Refuerzo R2 – Auditorías de se ...

[mp.s.2.r2.1] Se realizaran auditorías de se ...

[mp.s.2.r2.2] Se emplearán metodologías defi ...

[mp.s.2.r2.3] Una vez finalizada una auditor ...

[mp.s.2.r3] Refuerzo R3 – Protección de la ...

[mp.s.2.r3.1] Se prevendrán ataques de manip ...

[mp.s.3] Protección de la navegación we ...
    [A.8] Difusión de software dañino
    [A.30] Ingeniería social (picaresca)

[mp.s.3.1] Se establecerá una normativa d ...

[mp.s.3.2] Se llevarán a cabo regularment ...

[mp.s.3.3] Se formará al personal encarga ...

[mp.s.3.4] Se protegerá la información de ...

[mp.s.3.5] Se protegerá a la organización ...

[mp.s.3.6] Se protegerá contra la actuaci ...

[mp.s.3.7] Se establecerá una política ej ...

[mp.s.3.r1] Refuerzo R1 – Monitorización

[mp.s.3.r1.1] Se registrará el uso de la nav ...

[mp.s.3.r1.2] Se establecerá una función par ...

[mp.s.3.r1.3] Se establecerá una lista negra ...

[mp.s.3.r2] Refuerzo R2 – Destinos autoriz ...

[mp.s.3.r2.1] Se establecerá una lista blanc ...

[mp.s.4] Protección frente a denegación ...
    [A.24] Denegación de servicio

[mp.s.4.1] Se planificará y dotará al sis ...

[mp.s.4.2] Se desplegarán tecnologías par ...

[mp.s.4.r1] Refuerzo R1 – Detección y reac ...

[mp.s.4.r1.1] Se establecerá un sistema de d ...

[mp.s.4.r1.2] Se establecerán procedimientos ...

[mp.s.4.r2] Refuerzo R2 – Ataques propios

[mp.s.4.r2.1] Se detectará y se evitará el l ...

