Seguridad de los datos (PR.SD)
Esta categoría contempla que la información y registros (datos) se gestionan en función de la estrategia de riesgo de la organización para proteger la confidencialidad, integridad y disponibilidad de la información.
En la tabla siguiente se detallan ocho subcategorías en los que se divide esta categoría y los requisitos que se relacionan con cada una de ellas.
Subcategoría | Prioridad x Perfil | Referencias | Requisitos relacionados | ||
PR.SD-1. Los datos en reposo (inactivos) se encuentran protegidos. | P2 | P2 | P1 | CIS CSC 13, 14 COBIT 5 APO01.06, BAI02.01, BAI06.01, DSS04.07, DSS05.03, DSS06.06 ISA 62443-3-3:2013 SR 3.4, SR 4.1 ISO/IEC 27001:2013 A.8.2.3 NIST SP 800-53 Rev. 4 MP-8, SC-12, SC-28 | SO.6 Respaldar la información y realizar pruebas de restauración periódicas.
CA.3 Establecer controles criptográficos.
CA.4 Establecer los controles para el uso de firma electrónica. |
PR.SD-2. Los datos en tránsito se encuentran protegidos. | P2 | P2 | P1 | CIS CSC 13, 14 COBIT 5 APO01.06, DSS05.02, DSS06.06 ISA 62443-3-3:2013 SR 3.1, SR 3.8, SR 4.1, SR 4.2 ISO/IEC 27001:2013 A.8.2.3, A.13.1.1, A.13.2.1, A.13.2.3, A.14.1.2, A.14.1.3 NIST SP 800-53 Rev. 4 SC-8, SC-11, SC-12 |
CA.3 Establecer controles criptográficos.
CA.4 Establecer los controles para el uso de firma electrónica. |
PR.SD-3. Los activos se gestionan formalmente a lo largo de la eliminación, las transferencias y disposición. | P2 | P2 | P1 | CIS CSC 1 COBIT 5 BAI09.03 ISA 62443-2-1:2009 4.3.3.3.9, 4.3.4.4.1 ISA 62443-3-3:2013 SR 4.2 ISO/IEC 27001:2013 A.8.2.3, A.8.3.1, A.8.3.2, A.8.3.3, A.11.2.5, A.11.2.7 NIST SP 800-53 Rev. 4 CM-8, MP-6, PE-16 | GA.5 Establecer los mecanismos para destruir la información y medios de almacenamiento. |
PR.SD-4. Se mantiene una adecuada capacidad para asegurar la disponibilidad. | P3 | P3 | P1 | CIS CSC 1, 2, 13 COBIT 5 APO13.01, BAI04.04 ISA 62443-3-3:2013 SR 7.1, SR 7.2 ISO/IEC 27001:2013 A.12.1.3, A.17.2.1 NIST SP 800-53 Rev. 4 AU-4, CP-2, SC-5 EMG 61, 78 | SO.3 Gestionar la capacidad de los servicios que se encuentran operativos. |
PR.SD-5. Se implementan medidas de protección contra fuga de datos. | P2 | P1 | P1 | CIS CSC 13 COBIT 5 APO01.06, DSS05.04, DSS05.07, DSS06.02 ISA 62443-3-3:2013 SR 5.2 ISO/IEC 27001:2013 A.6.1.2, A.7.1.1, A.7.1.2, A.7.3.1, A.8.2.2, A.8.2.3, A.9.1.1, A.9.1.2, A.9.2.3, A.9.4.1, A.9.4.4, A.9.4.5, A.10.1.1, A.11.1.4, A.11.1.5, A.11.2.1, A.13.1.1, A.13.1.3, A.13.2.1, A.13.2.3, A.13.2.4, A.14.1.2, A.14.1.3 NIST SP 800-53 Rev. 4 AC-4, AC-5, AC-6, PE-19, PS-3, PS-6, SC-7, SC-8, SC-13, SC-31, SI-4 EMG 63 |
SC.6 Establecer acuerdos de no divulgación.
|
PR.SD-6. Se realizan chequeos de integridad para verificar software, firmware e integridad de la información. | P1 | P1 | P1 | CIS CSC 2, 3 COBIT 5 APO01.06, BAI06.01, DSS06.02 ISA 62443-3-3:2013 SR 3.1, SR 3.3, SR 3.4, SR 3.8 ISO/IEC 27001:2013 A.12.2.1, A.12.5.1, A.14.1.2, A.14.1.3, A.14.2.4 NIST SP 800-53 Rev. 4 SC-16, SI7 EMG 61, 78 | SO.5 Controlar software malicioso.
|
PR.SD-7. Los entornos de desarrollo y pruebas están separados del entorno de producción. | P2 | P2 | P1 | CIS CSC 18, 20 COBIT 5 BAI03.08, BAI07.04 ISO/IEC 27001:2013 A.12.1.4 NIST SP 800-53 Rev. 4 CM-2 | SO.4 Definir entornos separados para desarrollo, pruebas y producción. |
PR.SD-8. Se utilizan mecanismos de comprobación de la integridad para verificar la integridad del hardware.
| P3 | P2 | P1 | COBIT 5 BAI03.05 ISA 62443-2-1:2009 4.3.4.4.4 ISO/IEC 27001:2013 A.11.2.4 NIST SP 800-53 Rev. 4 SA-10, SI-7 | SF.2 Implementar controles ambientales en los centros de datos y áreas relacionadas.
|