Recientemente ENISA ha publicado la versión 1.0 de un documento que nos ha parecido muy interesante, titulado "Base de requerimientos mínimos de seguridad indispensables para la adquisición de productos y servicios TIC seguros" (enlace).
Se trata de un documento elaborado por un grupo de trabajo de expertos designados por distintos Estados Miembros (en particular, por Austria, Francia, Alemania, Chequia, España, Holanda y Finlandia) que aplica también, como no podía ser de otra manera, a los suministradores de los proveedores de servicios.
Antes de mapear los requerimientos de seguridad incluidos en el documento de ENISA con los de LEET Security, hemos de hacer algunas reflexiones sobre el documento:
Finalmente, y como habíamos comentado, en la tabla siguiente se trazan los requerimientos mínimos del documento con las secciones de la metodología de evaluación de LEET Security, identificando, a su vez, los requisitos que se establecen en ésta para el nivel mínimo de calificación ('D D D'). Aún considerando que la metodología de LEET Security está orientada a servicios, vemos que hay un solape de casi un 50% entre ambas propuestas.
Req. ENISA | LEET Security | Requisitos Nivel DDD |
Seguridad por Diseño | [SO.05] Requerimientos de seguridad para SSII | |
[MO.01] Logs de Auditoría | x | |
[SD.05] Control de Vulnerabilidades Técnicas | x | |
Mínimo Privilegio | [AC.03] Identificación y Autenticación de Usuarios | |
[AC.01] Requisitos de Negocio para Control de Acceso | x | |
[AC.04] Sistema de Gestión de Contraseñas | x | |
Autenticación Fuerte | [AC.02] Procedimeintos seguros de acceso | |
Protección de Activos | [CR.01] Gestión de claves | x |
[FS.05] Protección de Dispositivos Físicos en Tránsito | ||
[NC.05] Preservando la Confidencialidad en redes públicas | ||
Seguridad de la Cadena de Suministro | [MO.02] Monitorización de uso del sistema | |
Transparencia de la Documentación | [SO.04] Seguridad de la Documentación del Sistema | |
[SO.01] Gestión de Cambios | x | |
Gestión de la Calidad | [TP.02] Evaluación de la Cadena de Suministro | x |
Continuidad del Servicio | [SD.05] Control de vulnerabilidades Técnicas | x |
Jurisdicción UE | [CO.01] Cumplimiento con Requerimientos Legales | x |
Restricción de Uso de Datos | [TP.01] Procesamiento Compartido | x |
N/A | [SO.03] Procedimiento Gestión de Información | x |
[PS.02] Formación y Concienciación | x | |
[FS.01] Perímetro de seguridad física | x | |
[FS.03] Ubicación y protección de equipos | x | |
[RE.04] Backups de información | x | |
[RE.06] Aspectos de seguridad del BCP | x | |
[CO.02] Cumplimiento con políticas, normas y técnicas | x | |
[NC.02] Controles de enrutamiento de redes | x | |
[IH.01] Notificación de eventos e incidentes de seguridad | x | |
[IH.02] Gestión de incidentes y mejoras de seguridad | x |