ENS Anexo II Flashcards
Principios básicos
- Seguridad integral
- Gestión de riesgos
- Prevención, reacción y recuperación
- Líneas de defensa
- Reevaluación periódica
- Función diferenciada
Requisitos mínimos
- Organización e implantación del proceso de seguridad
- Análisis y gestión de los riesgos
- Gestión de personal
- Profesionalidad
- Autorización y control de los accesos
- Protección de las instalaciones
- Adquisición de productos
- Seguridad por defecto
- Integridad y actualización del sistema
- Protección de la información almacenada y en tránsito
- Prevención ante otros sistemas de información interconectados
- Registro de actividad
- Incidentes de seguridad
- Continuidad de la actividad
- Mejora continua del proceso de seguridad
Dimensiones
- Disponibilidad [D]
- Autenticidad [A]
- Integridad [I]
- Confidencialidad [C]
- Trazabilidad [T]
Nivel BAJO
Se entenderá por perjuicio limitado:
- La reducción de forma apreciable de la capacidad de la organización para atender eficazmente con sus obligaciones corrientes, aunque estas sigan desempeñándose.
- El sufrimiento de un daño menor por los activos de la organización.
- El incumplimiento formal de alguna ley o regulación, que tenga carácter de subsanable.
- Causar un perjuicio menor a algún individuo, que aun siendo molesto pueda ser fácilmente reparable.
Nivel MEDIO
Se entenderá por perjuicio grave:
- La reducción significativa la capacidad de la organización para atender eficazmente a sus obligaciones fundamentales, aunque estas sigan desempeñándose.
- El sufrimiento de un daño significativo por los activos de la organización.
- El incumplimiento material de alguna ley o regulación, o el incumplimiento formal** que **no** tenga carácter de **subsanable.
- Causar un perjuicio significativo a algún individuo, de difícil reparación.
Nivel ALTO
Perjuicio muy grave
- La anulación de la capacidad de la organización para atender a alguna de sus obligaciones fundamentales y que éstas sigan desempeñándose.
- El sufrimiento de un daño muy grave, e incluso irreparable, por los activos de la organización.
- El incumplimiento grave de alguna ley o regulación.
- Causar un perjuicio grave a algún individuo, de difícil o imposible reparación.
Marco organizativo
Conjunto de 4 medidas relacionadas con la organización global de la seguridad
Marco operacional
Las 31 medidas a tomar para proteger la operación del sistema como conjunto integral de componentes para un fin.
Medidas de protección
Las 40 medidas de protección se centrarán en proteger activos concretos, según su naturaleza, con el nivel requerido en cada dimensión de seguridad.
Medidas marco organizativo
- Política de seguridad [org.1]
- Normativa de seguridad [org.2]
- Procedimientos de seguridad [org.3]
- Proceso de autorización [org.4]
Medidas marco operacional - planificación (op.pl)
- Análisis de riesgos [op.pl.1]+++
- Arquitectura de seguridad [op.pl.2]+++
- Adquisición de nuevos componentes [op.pl.3]
- Dimensionamiento / gestión de capacidades [op.pl.4] D
- Componentes certificados [op.pl.5]
Medidas marco operacional - acceso (op.acc)
- Identificación [op.acc.1] A T
- Requisitos de acceso [op.acc.2] I C A T
- Segregación de funciones y tareas [op.acc.3] I C A T
- Proceso de gestión de derechos de acceso [op.acc.4] I C A T
- Mecanismo de autenticación [op.acc.5]+++ I C A T
- Acceso local [op.acc.6]+++ I C A T
- Acceso remoto [op.acc.7]+ = I C A T
Medidas marco operacional - explotación (op.exp)
- Inventario de activos [op.exp.1]
- Configuración de seguridad [op.exp.2]
- Gestión de la configuración [op.exp.3]
- Mantenimiento [op.exp.4]
- Gestión de cambios [op.exp.5]
- Protección frente a código dañino [op.exp.6]
- Gestión de incidentes [op.exp.7]
- Registro de la actividad de los usuarios [op.exp.8]+++ T
- Registro de la gestión de incidentes [op.exp.9]
- Protección de los registros de actividad [op.exp.10] T
- Protección de claves criptográficas [op.exp.11]+ =
Medidas marco operacional - servicios externos (op.ext)
- Contratación y acuerdos de nivel de servicio [op.ext.1]
- Gestión diaria [op.ext.2]
- Medios alternativos [op.ext.9] D
Medidas marco operacional - continuidad del servicio (op.cont)
- Análisis de impacto [op.cont.1] D
- Plan de continuidad [op.cont.2] D
- Pruebas periódicas [op.cont.3] D