Esquema Nacional de Seguridad (RD 311/2022)
Marco de seguridad de la información para las Administraciones Públicas españolas y las entidades del sector privado que les prestan servicios. Define principios básicos, requisitos mínimos y medidas de seguridad por niveles (básico, medio, alto).
4 requisitos
org.1Política de seguridad
Documento aprobado por el órgano superior que define la estrategia de seguridad.
org.2Normativa de seguridad
Normas de uso correcto de sistemas, instalaciones y servicios.
org.3Procedimientos de seguridad
Procedimientos que detallan cómo realizar las tareas de seguridad.
org.4Proceso de autorización
Proceso formal de autorización de uso de instalaciones, equipos y servicios.
33 requisitos
op.pl.1Análisis de riesgos
Identificar y evaluar los riesgos a los que está expuesto el sistema.
op.pl.2Arquitectura de seguridad
Documentar la arquitectura de seguridad del sistema.
op.pl.3Adquisición de nuevos componentes
Incluir la seguridad en la adquisición de nuevos componentes.
35 requisitos
mp.if.1Áreas separadas y con control de acceso
Separar y controlar el acceso a las áreas de los sistemas.
mp.if.2Identificación de las personas
Identificar a las personas que acceden a las instalaciones.
mp.if.3Acondicionamiento de los locales
Acondicionar los locales que albergan los sistemas.
op.pl.4Dimensionamiento / gestión de capacidades
Dimensionar adecuadamente los recursos del sistema.
op.pl.5Componentes certificados
Uso preferente de componentes con certificación de seguridad.
op.acc.1Identificación
Identificación singular de usuarios y procesos.
op.acc.2Requisitos de acceso
El acceso se concede según necesidad de conocer y mínimo privilegio.
op.acc.3Segregación de funciones y tareas
Separar funciones para evitar concentración de privilegios.
op.acc.4Proceso de gestión de derechos de acceso
Gestionar el ciclo de vida de los derechos de acceso.
op.acc.5Mecanismo de autenticación (usuarios externos)
Mecanismos de autenticación para usuarios externos.
op.acc.6Mecanismo de autenticación (usuarios de la organización)
Mecanismos de autenticación para usuarios internos.
op.exp.1Inventario de activos
Mantener un inventario actualizado de los activos del sistema.
op.exp.2Configuración de seguridad
Configurar los componentes de forma segura (bastionado).
op.exp.3Gestión de la configuración de seguridad
Mantener la configuración de seguridad a lo largo del tiempo.
op.exp.4Mantenimiento y actualizaciones de seguridad
Aplicar mantenimiento y parches de seguridad.
op.exp.6Protección frente a código dañino
Protección frente a malware.
op.exp.7Gestión de incidentes
Detectar, registrar y responder a incidentes de seguridad.
op.exp.8Registro de la actividad
Registrar la actividad de usuarios y sistemas (logs).
op.exp.9Registro de la gestión de incidentes
Registrar las actuaciones de gestión de incidentes.
op.exp.10Protección de los registros de actividad
Proteger la integridad de los registros (logs).
op.ext.1Contratación y acuerdos de nivel de servicio
Establecer SLA y requisitos de seguridad con terceros.
op.ext.2Gestión diaria
Gestión y seguimiento diario de los servicios externos.
op.ext.3Protección de la cadena de suministro
Gestionar los riesgos de la cadena de suministro.
op.ext.4Interconexión de sistemas
Proteger las interconexiones entre sistemas.
op.nub.1Protección de servicios en la nube
Medidas específicas para la protección de servicios en la nube.
op.cont.1Análisis de impacto
Análisis de impacto sobre la continuidad (BIA).
op.cont.2Plan de continuidad
Disponer de un plan de continuidad del servicio.
op.cont.3Pruebas periódicas
Probar periódicamente el plan de continuidad.
op.cont.4Medios alternativos
Disponer de medios alternativos para la prestación del servicio.
op.mon.1Detección de intrusión
Herramientas de detección de intrusiones.
op.mon.2Sistema de métricas
Recopilar métricas del estado de seguridad.
op.mon.3Vigilancia
Vigilancia continua del sistema.
mp.if.4Energía eléctrica
Garantizar el suministro eléctrico (SAI, generadores).
mp.if.5Protección frente a incendios
Medidas de protección contra incendios.
mp.if.6Protección frente a inundaciones
Medidas de protección contra inundaciones.
mp.if.7Registro de entrada y salida de equipamiento
Registrar la entrada y salida de equipamiento.
mp.per.1Caracterización del puesto de trabajo
Definir las responsabilidades de seguridad de cada puesto.
mp.per.2Deberes y obligaciones
Informar al personal de sus deberes y obligaciones de seguridad.
mp.per.3Concienciación
Acciones de concienciación en seguridad.
mp.per.4Formación
Formación específica en seguridad para el personal.
mp.eq.1Puesto de trabajo despejado
Política de puesto de trabajo despejado.
mp.eq.2Bloqueo de puesto de trabajo
Bloqueo automático del puesto tras inactividad.
mp.eq.3Protección de equipos portátiles
Medidas específicas para portátiles y dispositivos móviles.
mp.eq.4Otros dispositivos conectados a la red
Proteger otros dispositivos conectados a la red.
mp.com.1Perímetro seguro
Establecer un perímetro de red seguro (cortafuegos).
mp.com.2Protección de la confidencialidad
Cifrado de las comunicaciones para garantizar confidencialidad.
mp.com.3Protección de la autenticidad y la integridad
Garantizar autenticidad e integridad de las comunicaciones.
mp.com.4Separación de flujos de información en la red
Segmentar la red separando flujos de información.
mp.si.1Marcado de soportes
Marcar los soportes según la clasificación de la información.
mp.si.3Custodia
Custodia segura de los soportes de información.
mp.si.4Transporte
Proteger los soportes durante su transporte.
mp.si.5Borrado y destrucción
Borrado seguro y destrucción de soportes.
mp.sw.1Desarrollo de aplicaciones
Aplicar seguridad en el desarrollo de aplicaciones.
mp.sw.2Aceptación y puesta en servicio
Pruebas de seguridad antes de la puesta en servicio.
mp.info.1Datos de carácter personal
Proteger los datos personales conforme a la normativa.
mp.info.2Calificación de la información
Calificar la información según su nivel de seguridad.
mp.info.3Firma electrónica
Uso de firma electrónica para autenticidad e integridad.
mp.info.4Sellos de tiempo
Uso de sellos de tiempo cuando se requiera.
mp.info.5Limpieza de documentos
Eliminar metadatos y datos ocultos de los documentos.
mp.info.6Copias de seguridad (backup)
Realizar y custodiar copias de seguridad de la información.
mp.s.1Protección del correo electrónico
Medidas de seguridad del correo electrónico.
mp.s.2Protección de servicios y aplicaciones web
Proteger los servicios y aplicaciones web.
mp.s.3Protección frente a la denegación de servicio
Medidas de protección frente a ataques de denegación de servicio (DoS).