I. Disposiciones generales. MINISTERIO PARA LA TRANSFORMACIÓN DIGITAL Y DE LA FUNCIÓN PÚBLICA. Esquema Nacional de Seguridad. (BOE-A-2024-8715)
Real Decreto 443/2024, de 30 de abril, por el que se aprueba el Esquema Nacional de Seguridad de redes y servicios 5G.
48 páginas totales
Página
Zahoribo únicamente muestra información pública que han sido publicada previamente por organismos oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
BOLETÍN OFICIAL DEL ESTADO
Núm. 106
Miércoles 1 de mayo de 2024
5.
Sec. I. Pág. 49796
Identificación de amenazas y riegos en la tecnología 5G
En el artículo 9 del Real Decreto-ley 7/2022, de 29 de marzo, se especifica la
necesidad de identificar los factores de riesgo a analizar en función de la evolución
tecnológica, la incorporación de nuevos avances, funcionalidades y estándares
tecnológicos, la situación del mercado de comunicaciones electrónicas y del de
suministros y de la aparición de nuevas amenazas y vulnerabilidades.
Los siguientes apartados recogen las tareas realizadas.
5.1
Criterio de identificación del riesgo de un ataque.
Para calcular el nivel de riesgo de seguridad que introduce una amenaza, utilizamos
tres factores atendiendo a las siguientes fórmulas:
Nivel de riesgo = (Probabilidad de ocurrencia) × (Impacto en la red)
donde, a su vez,
(Impacto en la red) = (Criticidad del activo) × (Factor de escalado)
Se define, seguidamente, los conceptos empleados:
a) Probabilidad de ocurrencia: Se realiza una valoración en base a los siguientes
parámetros:
i. Grado de exposición del activo a la vulnerabilidad: da una medida de lo expuesto
que se encuentra el elemento analizado a nivel físico o lógico, y el nivel de accesibilidad/
facilidad que pueda tener el atacante de cara a ejecutar la amenaza.
ii. Complejidad o conocimientos para desarrollar el ataque: la probabilidad de
ocurrencia aumenta en el caso de que el ataque se pueda realizar sin muchos
conocimientos técnicos y el entorno de ataque sea sencillo de implementar o se usen
herramientas automatizadas.
iii. Conocimiento público de la vulnerabilidad: un ataque es más probable cuanto
más conocido es a nivel de comunidad. En el caso de que la vulnerabilidad esté poco
difundida o se maneje solamente en ciertos círculos (como por ejemplo
suministradores 5G u operadores de redes y servicios 5G), su explotación será menos
probable.
iv. Rastro que deja el ataque: en caso de que el ataque se realice por fuerza bruta o
dejando trazabilidad en las redes, será menor la probabilidad de que existan atacantes
dispuestos a aprovechar la vulnerabilidad. Se trata de casos en los cuales no pueda
realizarse suplantación de identidad.
v. Beneficio obtenido con el éxito del ataque: valor económico, reconocimiento,
relevancia, etc., de la consecución del ataque.
Los posibles valores de la probabilidad de ocurrencia son Muy Alto, Alto, Medio,
Bajo.
Para evaluar el servicio y dar una valoración del impacto se utilizan los siguientes
parámetros:
i. Criticidad del activo: concepto mencionado anteriormente, que engloba la
confidencialidad, la integridad, la disponibilidad, la autenticidad y la trazabilidad.
ii. Factor de escalado: identifica la importancia y/o alcance del ataque a nivel de
afectación de la red. Toma en consideración tanto el alcance (número de usuarios que
cve: BOE-A-2024-8715
Verificable en https://www.boe.es
b) Impacto en la red: de forma similar a la probabilidad de ocurrencia, se utiliza una
valoración cualitativa para medir el impacto que podría tener el ataque en la red.
Núm. 106
Miércoles 1 de mayo de 2024
5.
Sec. I. Pág. 49796
Identificación de amenazas y riegos en la tecnología 5G
En el artículo 9 del Real Decreto-ley 7/2022, de 29 de marzo, se especifica la
necesidad de identificar los factores de riesgo a analizar en función de la evolución
tecnológica, la incorporación de nuevos avances, funcionalidades y estándares
tecnológicos, la situación del mercado de comunicaciones electrónicas y del de
suministros y de la aparición de nuevas amenazas y vulnerabilidades.
Los siguientes apartados recogen las tareas realizadas.
5.1
Criterio de identificación del riesgo de un ataque.
Para calcular el nivel de riesgo de seguridad que introduce una amenaza, utilizamos
tres factores atendiendo a las siguientes fórmulas:
Nivel de riesgo = (Probabilidad de ocurrencia) × (Impacto en la red)
donde, a su vez,
(Impacto en la red) = (Criticidad del activo) × (Factor de escalado)
Se define, seguidamente, los conceptos empleados:
a) Probabilidad de ocurrencia: Se realiza una valoración en base a los siguientes
parámetros:
i. Grado de exposición del activo a la vulnerabilidad: da una medida de lo expuesto
que se encuentra el elemento analizado a nivel físico o lógico, y el nivel de accesibilidad/
facilidad que pueda tener el atacante de cara a ejecutar la amenaza.
ii. Complejidad o conocimientos para desarrollar el ataque: la probabilidad de
ocurrencia aumenta en el caso de que el ataque se pueda realizar sin muchos
conocimientos técnicos y el entorno de ataque sea sencillo de implementar o se usen
herramientas automatizadas.
iii. Conocimiento público de la vulnerabilidad: un ataque es más probable cuanto
más conocido es a nivel de comunidad. En el caso de que la vulnerabilidad esté poco
difundida o se maneje solamente en ciertos círculos (como por ejemplo
suministradores 5G u operadores de redes y servicios 5G), su explotación será menos
probable.
iv. Rastro que deja el ataque: en caso de que el ataque se realice por fuerza bruta o
dejando trazabilidad en las redes, será menor la probabilidad de que existan atacantes
dispuestos a aprovechar la vulnerabilidad. Se trata de casos en los cuales no pueda
realizarse suplantación de identidad.
v. Beneficio obtenido con el éxito del ataque: valor económico, reconocimiento,
relevancia, etc., de la consecución del ataque.
Los posibles valores de la probabilidad de ocurrencia son Muy Alto, Alto, Medio,
Bajo.
Para evaluar el servicio y dar una valoración del impacto se utilizan los siguientes
parámetros:
i. Criticidad del activo: concepto mencionado anteriormente, que engloba la
confidencialidad, la integridad, la disponibilidad, la autenticidad y la trazabilidad.
ii. Factor de escalado: identifica la importancia y/o alcance del ataque a nivel de
afectación de la red. Toma en consideración tanto el alcance (número de usuarios que
cve: BOE-A-2024-8715
Verificable en https://www.boe.es
b) Impacto en la red: de forma similar a la probabilidad de ocurrencia, se utiliza una
valoración cualitativa para medir el impacto que podría tener el ataque en la red.
