Categorización del Esquema Nacional de Seguridad
SIEMPRE QUE NOS PREGUNTEN SOBRE LAS MEDIDAS DE SEGURIDAD HABRÁ QUE CATEGORIZAR EL SISTEMA
Cosas para mencionar:
Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
Capítulo VII. Categorización de los sistemas de información: corresponde al artículo 40
- Artículo 40. Categorías de seguridad ENS
Anexo I. Categorías de seguridad de los sistemas de información.
Fundamentos para la determinación de la categoría de seguridad de un sistema de información
La determinación de la categoría de seguridad de un sistema de información se basará en la valoración del impacto que tendría sobre la organización un incidente que afectase a la seguridad de la información tratada o de los servicios prestados para:
- a) Alcanzar sus objetivos.
- b) Proteger los activos a su cargo.
- c) Garantizar la conformidad con el ordenamiento jurídico.
Anualmente, o siempre que se produzcan modificaciones significativas en los citados criterios de determinación, deberá reevaluarse la categoría de seguridad de los sistemas de información concernidos.
- Información
- Servicios
- CCN STIC 801 Responsabilidades y Funciones en el ENS:
- Responsable de la Información (evaluará la información)
- Responsable de los Servicios (evaluará los servicios)
- Responsable de la Seguridad (firmará la Declaración de Aplicabilidad según Artículo 28 – cumplimiento de requisitos mínimos ENS)
- El responsable del sistema (realizará la implantación de las medidas de seguridad, anexo II del ENS y guía 804 de Implantación.)
El responsable de la seguridad será distinto del responsable del sistema, no debiendo existir dependencia jerárquica entre ambos. En aquellas situaciones excepcionales en las que la ausencia justificada de recursos haga necesario que ambas funciones recaigan en la misma persona o en distintas personas entre las que exista relación jerárquica, deberán aplicarse medidas compensatorias para garantizar la finalidad del principio de diferenciación de responsabilidades previsto en el artículo 11
Se evaluará el sistema siguiendo la guía CCN STIC 803 Valoración de Sistemas en el ENS, con los valores establecidos según la guía CCN STIC 815 Indicadores y Métricas en el ENS correspondientes a la valoración del impacto que producirá un incidente en las dimensiones de seguridad de los activos esenciales:
- Trazabilidad [T]
- Autenticidad [A]
- Confidencialidad [C]
- Integridad [I]
- Disponibilidad [D]:
RTO Categoría ALTA < 4 horas
4 horas < RTO Categoría MEDIA < 1 día
1 día < RTO Categoría BÁSICA < 5 días
Valores de referencia según la guía CCN STIC 803, se podrán sacar valores más reales a partir del análisis de riesgos apoyándose en la metodología MAGERIT v3 usando la herramienta del CCN Pilar se obtiene el RTO…
CATEGORÍA MEDIA [ C=M, I =M, D=M, A=M, T=B ]
Categoría final del sistema según la vulnerabilidad de las dimensiones de seguridad y el perjuicio limitado/grave pero subsanable/muy grave e irreparable... que afecte al sistema.
Una vez categorizado el sistema (categoría BASICA, MEDIA, ALTA), se procederá a realizar la Declaración de Aplicabilidad firmada por el Responsable de Seguridad, según el articulo 28 del ENS con las medidas de seguridad a aplicar de acuerdo a su categoría (ppio proporcionalidad), para ello, se utilizará la Guía de Implantación CCN STIC 804 como apoyo, así como el ANEXO II del propio ENS:
Por último, mencionar que habrá que:
- Revisar periódicamente las medidas de seguridad, tal y como recoje el artículo 10 se llama vigilancia continua y reevaluación periódica del propio Real Decreto.
Como apoyo a dicha revisión, se utilizará la guía : CCN STIC 808 de Verificación de Cumplimiento de las Medidas de Seguridad del ENS
Realizar una auditoría al sistema (normalmente cada dos años por personal externo por ser categoría MEDIA) según el artículo 31 de auditoría de seguridad y el anexo III Auditoria de seguridad
Se seguirá la guía CCN STIC 802 Auditoría en el ENS.
Los sistemas de información comprendidos en el ámbito de aplicación de este real decreto serán objeto de una auditoría regular ordinaria, al menos cada dos años, que verifique el cumplimiento de los requerimientos del ENS.
Con carácter extraordinario, deberá realizarse dicha auditoría siempre que se produzcan modificaciones sustanciales en los sistemas de información, que puedan repercutir en las medidas de seguridad requeridas. La realización de la auditoria extraordinaria determinará la fecha de cómputo para el cálculo de los dos años, establecidos para la realización de la siguiente auditoría regular ordinaria, indicados en el párrafo anterior . El plazo de dos años señalado en los párrafos anteriores podrá extenderse durante tres meses cuando concurran impedimentos de fuerza mayor no imputables a la entidad titular del sistema o sistemas de información concernidos.
Con ello habrá una mejora continua de la seguridad según artículo 27 del ENS.
- Responsable de seguridad firmará la Declaración de Aplicabilidad según Artículo 28 ENS, con las medidas de seguridad del anexo II
CCN STIC 804 Guía de Implantación del ENS.
- Artículo 10 Reevaluación periódica.
CCN STIC 808 Verificación del Cumplimiento de las Medidas de Seguridad del ENS
- Artículo 27 Mejora Continua de la Seguridad.
Se seguirá la guía CCN STIC 802 Auditoría en el ENS.
Con ello, se tendrá una mejora continua de la seguridad tal y como se refleja en el artículo 27 del propio Real Decreto.
Véase también el tema de las copias de seguridad que esta en el artículo 26.
Artículo 26. Continuidad de la actividad. Los sistemas dispondrán de copias de seguridad y se establecerán los mecanismos necesarios para garantizar la continuidad de las operaciones en caso de pérdida de los medios habituales.
Artículo 27. Mejora continua del proceso de seguridad. El proceso integral de seguridad implantado deberá ser actualizado y mejorado de forma continua. Para ello, se aplicarán los criterios y métodos reconocidos en la práctica nacional e internacional relativos a la gestión de la seguridad de las tecnologías de