Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento

PR.TP-1. Los registros de auditoría (logs) se documentan, implementan y se revisan de conformidad con la política.

P2

P2

P1

CIS CSC 1, 3, 5, 6, 14, 15, 16

COBIT 5 APO11.04, BAI03.05, DSS05.04, DSS05.07, MEA02.01

ISA 62443-2-1:2009 4.3.3.3.9, 4.3.3.5.8, 4.3.4.4.7, 4.4.2.1, 4.4.2.2, 4.4.2.4

ISA 62443-3-3:2013 SR 2.8, SR 2.9, SR 2.10, SR 2.11, SR 2.12

ISO/IEC 27001:2013 A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4, A.12.7.1

NIST SP 800-53 Rev. 4 Familia AU

EMG 20, 21

SO.7 Registrar y monitorear los eventos de los sistemas.

PR.TP-2. Los medios extraíbles se encuentran protegidos y su uso se encuentra restringido de acuerdo con las políticas.

P3

P3

P1

CIS CSC 8, 13

COBIT 5 APO13.01, DSS05.02, DSS05.06

ISA 62443-3-3:2013 SR 2.3

ISO/IEC 27001:2013 A.8.2.1, A.8.2.2, A.8.2.3, A.8.3.1, A.8.3.3, A.11.2.9

NIST SP 800­53 Rev. 4 MP-2, MP-3, MP-4, MP-5, MP-7, MP-8

GA.4 Gestionar los medios de almacenamiento.

PR.TP-3. El acceso a los sistemas y activos se controla incorporando el principio de menor privilegio.

P1

P1

P1

CIS CSC 3, 11, 14

COBIT 5 DSS05.02, DSS05.05, DSS06.06

ISA 62443-2-1:2009 4.3.3.5.1, 4.3.3.5.2, 4.3.3.5.3, 4.3.3.5.4, 4.3.3.5.5, 4.3.3.5.6, 4.3.3.5.7, 4.3.3.5.8, 4.3.3.6.1, 4.3.3.6.2, 4.3.3.6.3, 4.3.3.6.4, 4.3.3.6.5, 4.3.3.6.6, 4.3.3.6.7, 4.3.3.6.8, 4.3.3.6.9, 4.3.3.7.1, 4.3.3.7.2, 4.3.3.7.3, 4.3.3.7.4

ISA 62443-3-3:2013 SR 1.1, SR 1.2, SR 1.3, SR 1.4, SR 1.5, SR 1.6, SR 1.7, SR 1.8, SR 1.9, SR 1.10, SR 1.11, SR 1.12, SR 1.13, SR 2.1, SR 2.2, SR 2.3, SR 2.4, SR 2.5, SR 2.6, SR 2.7

ISO/IEC 27001:2013 A.9.1.2

NIST SP 800­53 Rev. 4 AC-3, CM-7

CA.1 Gestionar el acceso lógico.

PR.TP-4. Las redes y comunicaciones se encuentran protegidas.

P1

P1

P1

CIS CSC 8, 12, 15

COBIT 5 DSS05.02, APO13.01

ISA 62443-3-3:2013 SR 3.1, SR 3.5, SR 3.8, SR 4.1, SR 4.3, SR 5.1, SR 5.2, SR 5.3, SR 7.1, SR 7.6

ISO/IEC 27001:2013 A.13.1.1, A.13.2.1, A.14.1.3

NIST SP 800-53 Rev. 4 AC-4, AC­17, AC­18, CP­8, SC­7, SC-19, SC-20, SC-21, SC-22, SC-23, SC­24, SC-25, SC­29, SC-32, SC-36, SC-37, SC­38, SC­39, SC-40, SC-41, SC-43

EMG 61, 78

SC.8 Garantizar que los correos electrónicos en tránsito entre dos MTAs, o entre un MUA y un MTA, no comprometa la confidencialidad de la información cuando esto sea posible.

SC.9 La implementación de canales de comunicación cifrados entre MTA de dominios gubernamentales es obligatoria y deberá implementarse utilizando protocolos seguros. Los MTA de dominios gubernamentales deberán interrumpir el intento de entrega o recepción de mensajes si este canal cifrado no se puede negociar.

SC.10 La implementación de canales de comunicación cifrados con protocolos seguros entre MTA de dominios gubernamentales y un MTA de terceros deberá ser el método preferido de comunicación. Cuando el establecimiento de estos canales cifrados no sea posible, se podrá establecer un canal en texto claro.

SC.11 La implementación de canales de comunicación cifrados entre MUA y MTA de dominios gubernamentales es mandatoria, y deberá implementarse utilizando protocolos seguros. Los MTA de dominios gubernamentales no deberán aceptar la descarga o entrega de correos por parte de MUA si este canal cifrado no se puede negociar. Los MTA no deberán aceptar la descarga o consulta de correos electrónicos sobre canales en texto claro.

SC.12 Los servicios de Webmail deben implementarse sobre el protocolo HTTPS utilizando un certificado de seguridad válido. Cuando la información a transmitir vía email represente un riesgo alto para la organización, se recomienda implementar un modelo de cifrado a nivel de mensaje.

SC.15 Todo sitio Web que contenga u oficie de enlace a un trámite en línea debe tener un firewall de aplicación Web (Web Application Firewall – WAF).

PR.TP-5. Se implementan mecanismos (por ejemplo, a prueba de fallas, equilibrio de carga, cambio en caliente o “hot swap”) para lograr los requisitos de resiliencia en situaciones normales y adversas.

P3

P2

P1

COBIT 5 BAI04.01, BAI04.02, BAI04.03, BAI04.04, BAI04.05, DSS01.05

ISA 62443-2-1:2009 4.3.2.5.2

ISA 62443-3-3:2013 SR 7.1, SR 7.2

ISO/IEC 27001:2013 A.17.1.2, A.17.2.1

NIST SP 800­53 Rev. 4 CP­7, CP-8, CP-11, CP-13, PL-8, SA­14, SC-6

CO.2 Los sistemas críticos de la infraestructura de telecomunicaciones, como el cableado, routers y switches (LAN, SAN, etc.), deben contar con redundancia.