I. Disposiciones generales. MINISTERIO PARA LA TRANSFORMACIÓN DIGITAL Y DE LA FUNCIÓN PÚBLICA. Esquema Nacional de Seguridad. (BOE-A-2024-8715)
Real Decreto 443/2024, de 30 de abril, por el que se aprueba el Esquema Nacional de Seguridad de redes y servicios 5G.
48 páginas totales
Página
Zahoribo únicamente muestra información pública que han sido publicada previamente por organismos oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
BOLETÍN OFICIAL DEL ESTADO
Miércoles 1 de mayo de 2024
Sec. I. Pág. 49788
2. Dimensiones de seguridad que afectan a la criticidad de un activo
De manera estandarizada y ampliamente reconocida, se consideran cinco
dimensiones de seguridad a la hora de evaluar la criticidad de los activos dentro de cada
una de las partes o elementos de una red 5G, sean partes o elementos críticos o no de
la red 5G en los términos indicados en el artículo 6, apartados 2 y 3, del Real Decretoley 7/2022, de 29 de marzo, artículos 5 y 6 y anexo I de este esquema, cuando de
evaluar la seguridad de una solución es lo que aplica.
Las cinco dimensiones de seguridad son Confidencialidad, Integridad, Trazabilidad,
Autenticidad y Disponibilidad.
a) Confidencialidad: La confidencialidad en un activo o una red valora la capacidad
de evitar que la información que está contenida en el activo, o en tránsito en la red, sea
expuesta a usuarios no autorizados, los cuales no deben tener acceso a ésta y la
información ni se pone a disposición, ni se revela a individuos, entidades o procesos no
autorizados.
Las medidas de seguridad para garantizar la confidencialidad son diversas, desde la
segmentación y el control de acceso, hasta el cifrado robusto de la información. El
principal factor a la hora de valorar importancia de la confidencialidad en un activo es la
sensibilidad de la información que almacena o transita por el mismo. Es importante tener
en cuenta cuando se atiende a este factor, el impacto que puede tener para el resto de la
red el hecho de que se comprometa ese activo.
Ejemplos de riesgos que puedan comprometer la confidencialidad son los siguientes:
Espiar/interceptar el tráfico/datos de usuario en la red (Man in the Middle/,
Eavesdropping), u obtener las credenciales de los operadores, ya sea debido a una
errónea configuración de la red, a la ausencia de políticas de segmentación y control de
acceso a los activos, o, por ejemplo, a la ausencia de cifrado en interfaces expuestas.
b) Integridad: La integridad es la capacidad de garantizar que los datos de un
activo/usuario/red durante su ciclo de vida, ya sea en tránsito o almacenados, son
modificados sólo por los agentes autorizados a ello, evitando que fuentes no deseadas
puedan cambiar o manipular dichos datos, es decir, que no ha sido alterado de manera
no autorizada. Algunas medidas para garantizar la integridad pueden ser la
segmentación y el control de acceso, la comprobación del hash en los paquetes, la
verificación de integridad de las versiones a instalar o almacenadas, etc.
Ejemplos de riesgos que comprometan la integridad son: Manipulación del
tráfico/datos (en tránsito o almacenado) en interfaces expuestas de la red 5G.
c) Trazabilidad: propiedad o característica consistente en que las actuaciones de
una entidad (activo/usuario/red/persona/proceso) pueden ser trazadas de forma
indiscutible hasta dicha entidad.
Ejemplos de riesgos que puedan comprometer la trazabilidad son los siguientes:
pérdida de control de la cadena de generación de información y/o datos o la
manipulación y/o borrado de los registros y logs.
d) Autenticidad: propiedad o característica consistente en que una entidad (activo/
usuario/red/persona/proceso) es quien dice ser o bien que garantiza la fuente de la que
proceden los datos.
Ejemplos de riesgos que puedan comprometer la autenticidad son los siguientes:
falsificación de información y/o de paquetes de datos.
e) Disponibilidad: La disponibilidad se basa en el principio de garantizar que los
usuarios legítimos tengan acceso ininterrumpido a los servicios y datos dentro del
entorno para su correcto funcionamiento y las entidades o procesos autorizados tienen
acceso a los mismos cuando lo requieren. Este concepto pretende juzgar la importancia
del activo y su solución en la continuidad de negocio de un determinado servicio, recurso
o infraestructura. El nivel de riesgo de afectación a la disponibilidad se suele unir al
número y al tipo de usuarios afectados que supondría la caída del servicio.
Para garantizar la disponibilidad se pueden tomar diversas medidas entre las que
están la creación de soluciones de backup, la redundancia/resiliencia de los activos, la
cve: BOE-A-2024-8715
Verificable en https://www.boe.es
Núm. 106
Miércoles 1 de mayo de 2024
Sec. I. Pág. 49788
2. Dimensiones de seguridad que afectan a la criticidad de un activo
De manera estandarizada y ampliamente reconocida, se consideran cinco
dimensiones de seguridad a la hora de evaluar la criticidad de los activos dentro de cada
una de las partes o elementos de una red 5G, sean partes o elementos críticos o no de
la red 5G en los términos indicados en el artículo 6, apartados 2 y 3, del Real Decretoley 7/2022, de 29 de marzo, artículos 5 y 6 y anexo I de este esquema, cuando de
evaluar la seguridad de una solución es lo que aplica.
Las cinco dimensiones de seguridad son Confidencialidad, Integridad, Trazabilidad,
Autenticidad y Disponibilidad.
a) Confidencialidad: La confidencialidad en un activo o una red valora la capacidad
de evitar que la información que está contenida en el activo, o en tránsito en la red, sea
expuesta a usuarios no autorizados, los cuales no deben tener acceso a ésta y la
información ni se pone a disposición, ni se revela a individuos, entidades o procesos no
autorizados.
Las medidas de seguridad para garantizar la confidencialidad son diversas, desde la
segmentación y el control de acceso, hasta el cifrado robusto de la información. El
principal factor a la hora de valorar importancia de la confidencialidad en un activo es la
sensibilidad de la información que almacena o transita por el mismo. Es importante tener
en cuenta cuando se atiende a este factor, el impacto que puede tener para el resto de la
red el hecho de que se comprometa ese activo.
Ejemplos de riesgos que puedan comprometer la confidencialidad son los siguientes:
Espiar/interceptar el tráfico/datos de usuario en la red (Man in the Middle/,
Eavesdropping), u obtener las credenciales de los operadores, ya sea debido a una
errónea configuración de la red, a la ausencia de políticas de segmentación y control de
acceso a los activos, o, por ejemplo, a la ausencia de cifrado en interfaces expuestas.
b) Integridad: La integridad es la capacidad de garantizar que los datos de un
activo/usuario/red durante su ciclo de vida, ya sea en tránsito o almacenados, son
modificados sólo por los agentes autorizados a ello, evitando que fuentes no deseadas
puedan cambiar o manipular dichos datos, es decir, que no ha sido alterado de manera
no autorizada. Algunas medidas para garantizar la integridad pueden ser la
segmentación y el control de acceso, la comprobación del hash en los paquetes, la
verificación de integridad de las versiones a instalar o almacenadas, etc.
Ejemplos de riesgos que comprometan la integridad son: Manipulación del
tráfico/datos (en tránsito o almacenado) en interfaces expuestas de la red 5G.
c) Trazabilidad: propiedad o característica consistente en que las actuaciones de
una entidad (activo/usuario/red/persona/proceso) pueden ser trazadas de forma
indiscutible hasta dicha entidad.
Ejemplos de riesgos que puedan comprometer la trazabilidad son los siguientes:
pérdida de control de la cadena de generación de información y/o datos o la
manipulación y/o borrado de los registros y logs.
d) Autenticidad: propiedad o característica consistente en que una entidad (activo/
usuario/red/persona/proceso) es quien dice ser o bien que garantiza la fuente de la que
proceden los datos.
Ejemplos de riesgos que puedan comprometer la autenticidad son los siguientes:
falsificación de información y/o de paquetes de datos.
e) Disponibilidad: La disponibilidad se basa en el principio de garantizar que los
usuarios legítimos tengan acceso ininterrumpido a los servicios y datos dentro del
entorno para su correcto funcionamiento y las entidades o procesos autorizados tienen
acceso a los mismos cuando lo requieren. Este concepto pretende juzgar la importancia
del activo y su solución en la continuidad de negocio de un determinado servicio, recurso
o infraestructura. El nivel de riesgo de afectación a la disponibilidad se suele unir al
número y al tipo de usuarios afectados que supondría la caída del servicio.
Para garantizar la disponibilidad se pueden tomar diversas medidas entre las que
están la creación de soluciones de backup, la redundancia/resiliencia de los activos, la
cve: BOE-A-2024-8715
Verificable en https://www.boe.es
Núm. 106
