PDF de programación - Seguridad en el control de procesos y SCADA - Gestionar el riesgo de terceros

Imágen de pdf Seguridad en el control de procesos y SCADA - Gestionar el riesgo de terceros

Seguridad en el control de procesos y SCADA - Gestionar el riesgo de tercerosgráfica de visualizaciones

Publicado el 20 de Marzo del 2018
419 visualizaciones desde el 20 de Marzo del 2018
413,8 KB
31 paginas
Creado hace 12a (01/03/2009)
SIN CLASIFICAR
SIN CLASIFICAR







GUÍA DE SEGURIDAD DE LAS TIC
GUÍA DE SEGURIDAD DE LAS TIC

(CCN-STIC-480F)
(CCN-STIC-480F)

SEGURIDAD EN EL CONTROL DE
SEGURIDAD EN EL CONTROL DE

PROCESOS Y SCADA
PROCESOS Y SCADA



Guía 5
Guía 5

Gestionar el riesgo de terceros
Gestionar el riesgo de terceros


































MARZMARZO 2009

SIN CLASIFICAR
SIN CLASIFICAR


CCN-STIC-480F



Edita:

SIN CLASIFICAR

SEGURIDAD EN EL CONTROL DE PROCESOS Y SCADA
Guía 5 – Gestionar riesgos de terceros













© Editor y Centro Criptológico Nacional, 2010
NIPO: 076-10-072-4

Tirada: 1000 ejemplares
Fecha de Edición: marzo de 2010

LIMITACIÓN ORIGINAL DE RESPONSABILIDAD

Esta guía está diseñada para difundir y garantizar las buenas prácticas en la protección de sistemas de control
industrial, tales como: control de procesos, automatización industrial, sistemas de control distribuido (SCD) y Control
Supervisor y Adquisición de Datos (SCADA). Estos sistemas se utilizan ampliamente en todo el panorama nacional.
El documento proporciona valiosos consejos sobre la protección de estos sistemas de ataques electrónicos y ha sido
producido por PA Consulting Group para CPNI.

La referencia a cualquier producto comercial, proceso o servicio específico con nombre comercial, marca fabricante, o
de otro modo, no constituye ni implica su respaldo, recomendación o favor por CPNI o PA Consulting Group. Los
puntos de vista y las opiniones de los autores expresadas en este documento no se utilizarán para fines publicitarios ni
de respaldo.

CPNI y PA Consulting Group no aceptarán la responsabilidad de cualquier error u omisión contenida en este
documento. En particular, CPNI y PA Consulting Group no se hacen responsables de cualquier pérdida o daño
alguno, derivados de la utilización de la información contenida en este documento.

El presente documento se proporciona de acuerdo con los términos en él recogidos, rechazando expresamente
cualquier tipo de garantía implícita que se pueda encontrar relacionada. En ningún caso, el Centro Criptológico
Nacional puede ser considerado responsable del daño directo, indirecto, fortuito o extraordinario derivado de la
utilización de la información y software que se indican incluso cuando se advierta de tal posibilidad.

La referencia a cualquier producto comercial específico, proceso o servicio con nombre comercial, marca fabricante, o
de otro modo, no constituye ni implica su respaldo comercial. Los puntos de vista y las opiniones de los autores
expresadas en este documento no se utilizarán para fines publicitarios ni de respaldo.





AVISO LEGAL
Quedan rigurosamente prohibidas, sin la autorización escrita del Centro Criptológico Nacional, bajo las sanciones
establecidas en las leyes, la reproducción parcial o total de este documento por cualquier medio o procedimiento,
comprendidos la reprografía y el tratamiento informático, y la distribución de ejemplares del mismo mediante alquiler
o préstamo públicos.

Centro Criptológico Nacional

i

SIN CLASIFICAR


CCN-STIC-480F



SIN CLASIFICAR

SEGURIDAD EN EL CONTROL DE PROCESOS Y SCADA
Guía 5 – Gestionar riesgos de terceros



PRÓLOGO

El uso masivo de las tecnologías de la información y las telecomunicaciones (TIC), en todos los ámbitos de
la sociedad, ha creado un nuevo espacio, el ciberespacio, donde se producirán conflictos y agresiones, y
donde existen ciberamenazas que atentarán contra la seguridad nacional, el estado de derecho, la
prosperidad económica, el estado de bienestar y el normal funcionamiento de la sociedad y de las
administraciones públicas.
La Ley 11/2002, de 6 de mayo, reguladora del Centro Nacional de Inteligencia, encomienda al Centro
Nacional de Inteligencia el ejercicio de las funciones relativas a la seguridad de las tecnologías de la
información en su artículo 4.e), y de protección de la información clasificada en su artículo 4.f), a la vez
que confiere a su Secretario de Estado Director la responsabilidad de dirigir el Centro Criptológico
Nacional en su artículo 9.2.f).

Partiendo del conocimiento y la experiencia del CNI sobre amenazas y vulnerabilidades en materia de
riesgos emergentes, el Centro realiza, a través de su Centro Criptológico Nacional, regulado por el Real
Decreto 421/2004, de 12 de marzo, diversas actividades directamente relacionadas con la seguridad de las
TIC, orientadas a la formación de personal experto, a la aplicación de políticas y procedimientos de
seguridad, y al empleo de tecnologías de seguridad adecuadas.

Una de las funciones más destacables del Centro Criptológico Nacional es la de elaborar y difundir normas,
instrucciones, guías y recomendaciones para garantizar la seguridad de los sistemas de las tecnologías de la
información y las comunicaciones de la Administración, materializada en la existencia de la serie de
documentos CCN-STIC.

Disponer de un marco de referencia que establezca las condiciones necesarias de confianza en el uso de los
medios electrónicos es, además, uno de los principios que establece la ley 11/2007, de 22 de junio, de
acceso electrónico de los ciudadanos a los servicios públicos, en su artículo 42.2 sobre el Esquema
Nacional de Seguridad (ENS).

Precisamente el Real Decreto 3/2010 de 8 de Enero de desarrollo del Esquema Nacional de Seguridad fija
los principios básicos y requisitos mínimos así como las medidas de protección a implantar en los sistemas
de la Administración, y promueve la elaboración y difusión de guías de seguridad de las tecnologías de la
información y las comunicaciones por parte de CCN para facilitar un mejor cumplimiento de dichos
requisitos mínimos.

En definitiva, la serie de documentos CCN-STIC se elabora para dar cumplimiento a los cometidos del
Centro Criptológico Nacional y a lo reflejado en el Esquema Nacional de Seguridad, conscientes de la
importancia que tiene el establecimiento de un marco de referencia en esta materia que sirva de apoyo para
que el personal de la Administración lleve a cabo su difícil, y en ocasiones, ingrata tarea de proporcionar
seguridad a los sistemas de las TIC bajo su responsabilidad.


Febrero de 2010














Félix Sanz Roldán
Secretario de Estado

Director del Centro Criptológico Nacional

Centro Criptológico Nacional

ii

SIN CLASIFICAR


CCN-STIC-480F


SIN CLASIFICAR

SEGURIDAD EN EL CONTROL DE PROCESOS Y SCADA
Guía 5 – Gestionar riesgos de terceros






ÍNDICE

0. INTRODUCCIÓN A LA TRADUCCIÓN...................................................................................5
0.1. ALCANCE DE ESTA TRADUCCIÓN ..................................................................................5
0.2. CAMBIOS EN EL CONTENIDO...........................................................................................5
0.3. CAMBIOS EN EL FORMATO...............................................................................................6
1. INTRODUCCIÓN ........................................................................................................................7
1.1. TERMINOLOGÍA ...................................................................................................................7
1.2. ANTECEDENTES...................................................................................................................7
1.3. MARCO DE SEGURIDAD EN EL CONTROL DE PROCESOS .........................................8
1.4. FINALIDAD DE ESTA GUÍA................................................................................................8
1.5. DESTINATARIOS ..................................................................................................................9
2. RESUMEN DE “ESTABLECER CAPACIDADES DE RESPUESTA” ....................................9
3. IDENTIFICAR TERCERAS PARTES ......................................................................................10
3.1. CONTEXTO DE ESTA SECCIÓN DENTRO DEL MARCO GENERAL .........................10
3.2. JUSTIFICACIÓN ..................................................................................................................11
3.3. PRINCIPIOS DE BUENAS PRÁCTICAS............................................................................11
3.4. ORIENTACIÓN SOBRE LAS BUENAS PRÁCTICAS......................................................11
4. GESTIONAR EL RIESGO DE LOS PROVEEDORES............................................................12
4.1. CONTEXTO DE ESTA SECCIÓN DENTRO DEL MARCO GENERAL .........................12
4.2. JUSTIFICACIÓN ..................................................................................................................12
4.3. PRINCIPIOS DE BUENAS PRÁCTICAS............................................................................12
4.4. ORIENTACIÓN SOBRE LAS BUENAS PRÁCTICAS......................................................13
4.4.1. MEDIDAS CONTRACTUALES PARA GESTIONAR EL RIESGO DE LOS
PROVEEDORES.........................................................................................................................13
4.4.2. PRINCIPALES TEMAS A CONSIDERAR RESPECTO A LOS PROVEEDORES ...14
4.4.3. EMBEBER LA CULTURA DE SEGURIDAD EN LOS PROVEEDORES.................15
4.4.4.
INFLUENCIAR LA HOJA DE RUTA DE SEGURIDAD DE LOS PROVEDORES..16
5. GESTIONAR EL RIESGO DE LAS ORGANIZACIONES DE SOPORTE ............................16
5.1. CONTEXTO DE ESTA SECCIÓN DENTRO DEL MA
  • Links de descarga
http://lwp-l.com/pdf9745

Comentarios de: Seguridad en el control de procesos y SCADA - Gestionar el riesgo de terceros (0)


No hay comentarios
 

Comentar...

Nombre
Correo (no se visualiza en la web)
Valoración
Comentarios...
CerrarCerrar
CerrarCerrar
Cerrar

Tienes que ser un usuario registrado para poder insertar imágenes, archivos y/o videos.

Puedes registrarte o validarte desde aquí.

Codigo
Negrita
Subrayado
Tachado
Cursiva
Insertar enlace
Imagen externa
Emoticon
Tabular
Centrar
Titulo
Linea
Disminuir
Aumentar
Vista preliminar
sonreir
dientes
lengua
guiño
enfadado
confundido
llorar
avergonzado
sorprendido
triste
sol
estrella
jarra
camara
taza de cafe
email
beso
bombilla
amor
mal
bien
Es necesario revisar y aceptar las políticas de privacidad