Procesos y procedimientos para la protección de la información (PR.PI)
Esta categoría implica que las políticas de seguridad, procesos y procedimientos se mantienen y son utilizados para gestionar la protección de los sistemas de información y los activos.
En la tabla siguiente se detallan doce subcategorías en los que se divide esta categoría y los requisitos que se relacionan con cada una de ellas.
Subcategoría | Prioridad x Perfil | Referencias | Requisitos relacionados | ||
PR.PI-1. Existe una línea base de la configuración de los sistemas de información que es mantenida. | P3 | P3 | P1 | CIS CSC 3, 9, 11 COBIT 5 BAI10.01, BAI10.02, BAI10.03, BAI10.05 ISA 62443-2-1:2009 4.3.4.3.2, 4.3.4.3.3 ISA 62443-3-3:2013 SR 7.6 ISO/IEC 27001:2013 A.12.1.2, A.12.5.1, A.12.6.2, A.14.2.2, A.14.2.3, A.14.2.4 NIST SP 800-53 Rev. 4 CM-2, CM-3, CM-4, CM5, CM-6, CM-7, CM-9, SA-10 | |
| PR.PI-2. Se implementa el ciclo de vida de desarrollo para gestionar los sistemas.
| P2 | P2 | P1 | CIS CSC 18 COBIT 5 APO13.01, BAI03.01, BAI03.02, BAI03.03 ISA 62443-2-1:2009 4.3.4.3.3 ISO/IEC 27001:2013 A.6.1.5, A.14.1.1, A.14.2.1, A.14.2.5 NIST SP 800-53 Rev. 4 PL-8, SA-3, SA-4, SA8, SA-10, SA-11, SA12, SA-15, SA-17, SI-12, SI-13, SI14, SI-16, SI17 EMG 61, 78 |
OR.4 Abordar la seguridad de la información en la gestión de los proyectos. |
PR.PI-3. Existen procesos de gestión del cambio en las configuraciones. | P2 | P2 | P1 | CIS CSC 3, 11 COBIT 5 BAI01.06, BAI06.01 ISA 62443-2-1:2009 4.3.4.3.2, 4.3.4.3.3 ISA 62443-3-3:2013 SR 7.6 ISO/IEC 27001:2013 A.12.1.2, A.12.5.1, A.12.6.2, A.14.2.2, A.14.2.3, A.14.2.4 NIST SP 800-53 Rev. 4 CM-3, CM-4, SA-10 EMG 61, 78 | SO.2 Gestionar formalmente los cambios.
|
PR.PI-4. Se realizan y mantienen respaldos de la información y se testean periódicamente. | P1 | P1 | P1 | CIS CSC 10 COBIT 5 APO13.01, DSS01.01, DSS04.07 ISA 62443-2-1:2009 4.3.4.3.9 ISA 62443-3-3:2013 SR 7.3, SR 7.4 ISO/IEC 27001:2013 A.12.3.1, A.17.1.2, A.17.1.3, A.18.1.3 NIST SP 800-53 Rev. 4 CP-4, CP-6, CP-9 EMG 62 | SO.6 Respaldar la información y realizar pruebas de restauración periódicas. |
PR.PI-5. Las políticas y reglamentos relacionados con el medio ambiente físico operativo se cumplen. | P2 | P2 | P1 | COBIT 5 DSS01.04, DSS05.05 ISA 62443-2-1:2009 4.3.3.3.1 4.3.3.3.2, 4.3.3.3.3, 4.3.3.3.5, 4.3.3.3.6 ISO/IEC 27001:2013 A.11.1.4, A.11.2.1, A.11.2.2, A.11.2.3 NIST SP 800-53 Rev. 4 PE-10, PE-12, PE13, PE-14, PE-15, PE18 EMG 61, 78 | SF.2 Implementar controles ambientales en los centros de datos y áreas relacionadas.
|
PR.PI-6. Los datos son eliminados de acuerdo a las políticas de seguridad. | P2 | P2 | P1 | COBIT 5 BAI09.03, DSS05.06 ISA 62443-2-1:2009 4.3.4.4.4 ISA 62443-3-3:2013 SR 4.2 ISO/IEC 27001:2013 A.8.2.3, A.8.3.1, A.8.3.2, A.11.2.7 NIST SP 800-53 Rev. 4 MP-6 | GA.5 Establecer los mecanismos para destruir la información y medios de almacenamiento. |
PR.PI-7. Existe mejora continua de los procesos de protección. | P3 | P2 | P1 | COBIT 5 APO11.06, APO12.06, DSS04.05 ISA 62443-2-1:2009 4.4.3.1, 4.4.3.2, 4.4.3.3, 4.4.3.4, 4.4.3.5, 4.4.3.6, 4.4.3.7, 4.4.3.8 ISO/IEC 27001:2013 A.16.1.6, Cláusula 9, Cláusula 10 NIST SP 800-53 Rev. 4 CA2, CA-7, CP-2, IR8, PL-2, PM-6 | |
PR.PI-8. La eficacia de las tecnologías de protección se comparten con las partes apropiadas. | P3 | P2 | P1 | COBIT 5 BAI08.04, DSS03.04 ISO/IEC 27001:2013 A.16.1.6 NIST SP 800-53 Rev. 4 AC-21, CA7, SI4 | |
PR.PI-9. Existen y se gestionan planes de respuesta a incidentes (respuesta a incidentes y continuidad del negocio) y planes de recuperación (recuperación de incidentes y recuperación de desastres). | P2 | P2 | P1 | CIS CSC 19 COBIT 5 APO12.06, DSS04.03 ISA 62443-2-1:2009 4.3.2.5.3, 4.3.4.5.1 ISO/IEC 27001:2013 A.16.1.1, A.17.1.1, A.17.1.2, A.17.1.3 NIST SP 800-53 Rev. 4 CP-2, CP-7, CP-12, CP-13, IR-7, IR-8, IR-9, PE-17 EMG 62 | GI.1 Planificar la gestión de los incidentes de seguridad de la información.
GI.5 Responder ante incidentes de seguridad de la información.
CO.4 Planificar la continuidad de las operaciones y recuperación ante desastres. |
PR.PI-10. Los planes de respuesta y recuperación se testean regularmente. | P3 | P2 | P1 | CIS CSC 19, 20 COBIT 5 DSS04.04 ISA 62443-2-1:2009 4.3.2.5.7, 4.3.4.5.11 ISA 62443-3-3:2013 SR 3.3 ISO/IEC 27001:2013 A.17.1.3 NIST SP 800-53 Rev. 4 CP-4, IR3, PM-14 EMG 62 | CO.4 Planificar la continuidad de las operaciones y recuperación ante desastres.
GI.5 Responder ante incidentes de seguridad de la información. |
PR.PI-11. La ciberseguridad se encuentra incluida en las prácticas de RRHH. | P2 | P2 | P1 | CIS CSC 5, 16 COBIT 5 APO07.01, APO07.02, APO07.03, APO07.04, APO07.05 ISA 62443-2-1:2009 4.3.3.2.1, 4.3.3.2.2, 4.3.3.2.3 ISO/IEC 27001:2013 A.7.1.1, A.7.1.2, A.7.2.1, A.7.2.2, A.7.2.3, A.7.3.1, A.8.1.4 NIST SP 800-53 Rev. 4 PS-1, PS2, PS-3, PS-4, PS-5, PS6, PS7, PS-8, SA-21 EMG 63 | SC.6 Establecer acuerdos de no divulgación.
|
PR.PI-12. Existe un plan de gestión de vulnerabilidades. | P2 | P2 | P1 | CIS CSC 4, 18, 20 COBIT 5 BAI03.10, DSS05.01, DSS05.02 ISO/IEC 27001:2013 A.12.6.1, A.14.2.3, A.16.1.3, A.18.2.2, A.18.2.3 NIST SP 800-53 Rev. 4 RA3, RA-5, SI-2 EMG 63 | SO.1 Gestionar las vulnerabilidades técnicas.
CN.2 Realizar auditorías independientes de seguridad de la información. |