Por cortesía de ALTER SOFTWARE:
RTS.Art.28 GOBERNANZA
RTS.Art.29 POLITICA DE SEGURIDAD DE LA INFORMACION
RTS.Art.30 CONTROL DE ACTIVOS DE INFORMACIÓN Y TIC
- Identificación de funciones críticas
- Identificación de activos de información
- Identificación de sistemas TIC de soporte a los anteriores
- Terceros que desarrollen funciones críticas
RTS.Art.31 GESTIÓN DEL RIESGO
- Sistema de evaluación del riesgo
- Monitorización y Estrategias de mitigación
- Re-evaluación ante cambios, auditorias, etc
- Proceso de respuesta ante incidencias
RTS.Art.32 SEGURIDAD FISICA Y DEL ENTORNO
- Medidas de seguridad para activos de SI ante accesos no autorizados, ataques, accidentes, etc.
- Procedimiento Control de acceso físico/lógico:
- Derechos de acceso, política de mínimo privilegio
- Monitorización acceso a los sistemas (logs)
- Procedimiento concesión, cambio, revocación accesos. Control accesos privilegiados
- Métodos robustos de autentificación
- Revisión periodica de derechos de acceso
RTS.Art.34 SEGURIDAD OPERATIVA DE STMAS TIC
- Revisión periódica de adecuación de los sistemas TIC, capacidades, estado de soporte por parte de terceros…
- Parcheado, control automático de vulnerabilidades y corrección
- Gestión de riesgos de sistemas heredados y/o sin soporte de fabricante
- Sistema de Monitorización de actividades anómalas en sistemas
- Ciberamenazas: medidaspara monitorizar y estar actualizados
- Medidas para identificar fugas de información, ciberamenazas de seguridad y estar al día de las vulnerabilidades publicadas sobre el SW y HW
RTS.Art.35 DATOS, SISTEMAS Y REDES
- Protección de datos en uso, tránsito y en reposo
- Protección de medios de almacenamiento de datos y equipos que dispongan de información
- Medidas de detección y protección ante conexiones no autorizados a redes
- Medidas para garantizar la disponibilidad, integridad, autenticidad y confidencialidad de los datos transmitidos
- Medidas para la destrucción segura de datos y dispositivos
- Controles en situaciones de teletrabajo y uso de dispositivos porpios del trabajador
RTS.Art.36 PRUEBAS DE SEGURIDAD
- Plan de pruebas
- Corección de deficiencias detectadas en Plan de pruebas
RTS.Art.37 ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS TIC
- Procedimiento para el desarrollo, adquisición y mantenimiento en base a criterios de riesgo:
- Requisitos funcionales, no-funcionales y de seguridad definidos
- Proceso previo de prueba y validación. Medidas de mitigación de riesgos de despliegue
RTS.Art.38 PROYECTOS TIC Y CONTROL DE CAMBIOS
- Procedimiento de gestión de proyectos implantación/cambios sistemas TIC
RTS.Art.39 CONTINUIDAD DE NEGOCIO
- Plan de continuidad de negocio:
- Documentado, aprobado por Dirección, recursos, dependencias externas…
- Funciones críticas, RPO, RTO
- Condiciones de activación, recoger al menos los escenarios de RTS Art. 26.2º, acciones
- Procedimiento de backups
- Plan de comunicación
- Análisis y lecciones aprendidas tras el evento
- Pruebas de continuidad
- Pruebas anuales documentadas y reportadas a la Dirección
RTS.Cap.IV REPORTE AL SUPERVISOR DE LA REVISIÓN DEL SISTEMA DE GESTION DE RIESGOS TIC DE LA ENTIDAD
- Secciones:
- Introducción
- Contexto, actividades, funciones críticas, estrategia, dependencias,…
- Resumen ejecutivo
- Información del área reportada
- Cambios realizados desde anterior reporte
- Impacto de los cambios
- Fecha de aprobación del reporte por parte de Dirección
- Motivos de la revisión del sistema
- Si la revisión es a instancia de la entidad supervisora, evidencias de la petición
- Si es derivada de una incidencia, análisis de causas
- Fecha Inicio/Final periodo revisión
- Responsable de la revisión
- Resumen de conclusiones, autoevaluación de deficiencias del sistema TIC
- Medidas correctoras
- Conclusiones generales
- Introducción