Please enable JavaScript.
Coggle requires JavaScript to display documents.
RD 3/2010 (CAPÍTULO III Requisitos mínimos (Seguridad por defecto…
RD 3/2010
CAPÍTULO III Requisitos mínimos
Organización e implantación del proceso de seguridad
Análisis y gestión de los riesgos
Gestión de personal
Profesionalidad
Autorización y control de los accesos
Protección de las instalaciones
Adquisición de productos
Seguridad por defecto
Hardering
Integridad y actualización del sistema
Protección de la información almacenada y en tránsito
Prevención ante otros sistemas de información interconectados
Registro de actividad
Incidentes de seguridad
Continuidad de la actividad
Mejora continua del proceso de seguridad
Declaración de aplicabilidad
Firmada por responsable de seguridad
CAPÍTULO II Principios básicos
Seguridad integral
Gestión de riesgos
Permanentemente actualizado
Prevención, reacción y recuperación
Líneas de defensa
Reevaluación periódica
Función diferenciada
CAPÍTULO V Auditoría de la seguridad
Auditoría regular ordinaria
Al menos cada 2 años
Auditoría extraordinaria
Siempre que se produzcan modificaciones sustanciales que puedan repercutir en las medidas de seguridad requeridas
En función de la categoría
Usar criterios, métodos de trabajo y de conducta generalmente reconocidos
Dictaminar
Grado de cumplimiento del presente real decreto
Identificar sus deficiencias
Sugerir posibles medidas correctoras o complementarias necesarias
Responsable de seguridad
Analiza auditoría
Presenta sus conclusiones al responsable del sistema
Si categoría ALTA :arrow_right: acordar retirada de operación
Fechas
Disposición
08/01/2010
Publicación
29/01/2010
Entrada en vigor
30/01/2010
Plan de adecuación
30/01/2011
Sistemas informáticos adecuados
30/01/2014
CAPÍTULO VIII Normas de conformidad
Sedes y registros electrónicos
Ciclo de vida de servicios y sistemas
Mecanismos de control
Publicación de conformidad
En sede electrónica
Declaraciones de conformidad y distintivos de seguriad
ANEXO I Categorías de los sistemas
Fundamentos para la determinación de la categoría de un sistema
Alcanzar sus objetivos
Proteger los activos a su cargo
Cumplir sus obligaciones diarias de servicio
Respetar la legalidad vigente
Respetar los derechos de las personas
Dimensiones de la seguridad
Confidencialidad
Integridad
Disponibilidad
Autenticidad
Trazabilidad
Nivel requerido en una dimensión de seguridad
Bajo :arrow_right: perjuicio limitado
Medio :arrow_right: perjuicio grave
Alto :arrow_right: perjuicio muy grave
CAPÍTULO I Disposiciones generales
Objeto
Ámbito de aplicación
CAPITULO VI Estado de seguridad de los sistemas
Comité Sectorial de Administración Electrónica
Estado de las principales variables de la seguridad
Elaborar un perfil general del estado de la seguridad en las AP
CCN
Articulará los procedimientos necesarios para la recogida y consolidación de información
Aspectos metodológicos para tratamiento y explotación
CAPÍTULO X Categorización de los sistemas de información
Categoría
Facultades
Valoraciones :arrow_right: responsable de cada información/servicio
Determinar la categoría del sistema :arrow_right: responsable del sistema
ANEXO II Medidas de seguridad
Medidas de seguridad
Marco organizativo [org]
Marco operacional [op]
Medidas de protección [mp]
Declaración de aplicabilidad
Responsable de seguridad del sistema
ANEXO III Auditoría de la seguridad
Auditoría sistema categoría básica
NO auditoría :arrow_right: autoevaluación
Informes analizados por responsable de seguridad competente, elevará las conclusiones al responsable del sistema
Auditoría sistema categoría media/alta
Informe de auditoría
Informes analizados por responsable de seguridad competente, elevará las conclusiones al responsable del sistema
Otros aspectos
Análisis de riesgos
Magerit
PILAR
Declaración de aplicabilidad
Plan de adecuación
NO publicarlo en la sede electrónica
Se puede realizar un único Plan de Adecuación para varios sistemas
Responsabilidad de cumplimiento :arrow_right: Centro directivo
CAPÍTULO IV Comunicaciones electrónicas
Requerimientos técnicos de notificaciones y publicaciones electrónicas
CAPÍTULO VII Respuesta a incidentes de seguridad
CCN-CERT
Soporte y coordinación para el tratamiento de vulnerabilidades y resolución de incidentes de seguridad
Investigación y divulgación de las mejores prácticas sobre seguridad :arrow_right: series de documentos CCN-STIC
Formación destinada al personal de la Administración especialista en el campo de la seguridad de TI
Información sobre vulnerabilidades, alertas y avisos de nuevas amenazas a los SI
CAPÍTULO IX Actualización
Permanente
Disposición adicional cuarta. Desarrollo del Esquema Nacional de Seguridad
Instrucciones técnicas de seguridad
Informe del estado de la seguridad
Notificación de incidentes de seguridad
Auditoría de la seguridad
Conformidad con ENS
Adquisión de productos de seguridad
Criptología de empleo en el ENS
Interconexión en el ENS
Requisitos de seguridad en entornos externalizados