ens-decreto.yaml

urn: urn:intuitem:risk:library:esquema-nacional-de-seguridad
locale: es
ref_id: ENS
name: Esquema Nacional de Seguridad(Real Decreto 311/2022)
description: "El Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema\
  \ Nacional de Seguridad en el \xE1mbito de la Administraci\xF3n Electr\xF3nica (en\
  \ adelante, ENS) ten\xEDa por objeto determinar la pol\xEDtica de seguridad en la\
  \ utilizaci\xF3n de medios electr\xF3nicos de las entidades de su \xE1mbito de aplicaci\xF3\
  n, estando constituido por los principios b\xE1sicos y requisitos m\xEDnimos que\
  \ han venido garantizando adecuadamente la seguridad de la informaci\xF3n tratada\
  \ y los servicios prestados por dichas entidades.\n\nHere is the link of the document\
  \ :\nhttps://www.boe.es/eli/es/rd/2022/05/03/311\n\nHere is the link of the CCN-STIC\
  \ Security Guides:\nhttps://www.ccn-cert.cni.es/es/guias.html"
copyright: "BOLET\xCDN OFICIAL DEL ESTADO"
version: 1
provider: "Ministerio espa\xF1ol de Asuntos Econ\xF3micos y Transformaci\xF3n Digital "
packager: intuitem
objects:
  framework:
    urn: urn:intuitem:risk:framework:esquema-nacional-de-seguridad
    ref_id: ENS
    name: Esquema Nacional de Seguridad
    description: "El Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema\
      \ Nacional de Seguridad en el \xE1mbito de la Administraci\xF3n Electr\xF3nica\
      \ (en adelante, ENS) ten\xEDa por objeto determinar la pol\xEDtica de seguridad\
      \ en la utilizaci\xF3n de medios electr\xF3nicos de las entidades de su \xE1\
      mbito de aplicaci\xF3n, estando constituido por los principios b\xE1sicos y\
      \ requisitos m\xEDnimos que han venido garantizando adecuadamente la seguridad\
      \ de la informaci\xF3n tratada y los servicios prestados por dichas entidades.\n\
      \nHere is the link of the document :\nhttps://www.boe.es/eli/es/rd/2022/05/03/311\n\
      \nHere is the link of the CCN-STIC Security Guides:\nhttps://www.ccn-cert.cni.es/es/guias.html"
    implementation_groups_definition:
    - ref_id: "B\xC1SICA"
      name: "B\xC1SICA"
      description: "Categor\xEDa de seguridad del sistema\nUna medida que se aplica\
        \ en sistemas de categor\xEDa B\xC1SICA o superior \nUn sistema de informaci\xF3\
        n ser\xE1 de categor\xEDa B\xC1SICA si alguna de sus dimensiones de seguridad\
        \ alcanza el nivel BAJO, y ninguna alcanza un nivel superior.\n\nLos sistemas\
        \ de informaci\xF3n de categor\xEDa B\xC1SICA no necesitar\xE1n realizar una\
        \ auditor\xEDa. Bastar\xE1 una autoevaluaci\xF3n realizada por el mismo personal\
        \ que administra el sistema de informaci\xF3n o en quien \xE9ste delegue."
    - ref_id: MEDIA
      name: MEDIA
      description: "Categor\xEDa de seguridad del sistema\nUna medida que se empiezan\
        \ a aplicar en categor\xEDa MEDIA o superior.\nUn sistema de informaci\xF3\
        n ser\xE1 de categor\xEDa MEDIA si alguna de sus dimensiones de seguridad\
        \ alcanza el nivel de seguridad MEDIO, y ninguna alcanza un nivel de seguridad\
        \ superior."
    - ref_id: ALTA
      name: ALTA
      description: "Categor\xEDa de seguridad del sistema\nLos medidas o refuerzos\
        \ que son solo de aplicaci\xF3n en categor\xEDa ALTA o requieren un esfuerzo\
        \ en seguridad superior al de categor\xEDa MEDIA.\nUn sistema de informaci\xF3\
        n ser\xE1 de categor\xEDa ALTA si alguna de sus dimensiones de seguridad alcanza\
        \ el nivel de seguridad ALTO."
    - ref_id: BAJO
      name: BAJO
      description: "Nivel de las dimensiones de seguridad\nUna medida que se aplica\
        \ en sistemas de categor\xEDa B\xC1SICA o superior \nUn sistema de informaci\xF3\
        n ser\xE1 de categor\xEDa B\xC1SICA si alguna de sus dimensiones de seguridad\
        \ alcanza el nivel BAJO, y ninguna alcanza un nivel superior.\""
    - ref_id: MEDIO
      name: MEDIO
      description: "Nivel de las dimensiones de seguridad\nUna medida que se empiezan\
        \ a aplicar en categor\xEDa MEDIA o superior.\nUn sistema de informaci\xF3\
        n ser\xE1 de categor\xEDa MEDIA si alguna de sus dimensiones de seguridad\
        \ alcanza el nivel de seguridad MEDIO, y ninguna alcanza un nivel de seguridad\
        \ superior."
    - ref_id: ALTO
      name: ALTO
      description: "Nivel de las dimensiones de seguridad\nLos medidas o refuerzos\
        \ que son solo de aplicaci\xF3n en categor\xEDa ALTA o requieren un esfuerzo\
        \ en seguridad superior al de categor\xEDa MEDIA.\nUn sistema de informaci\xF3\
        n ser\xE1 de categor\xEDa ALTA si alguna de sus dimensiones de seguridad alcanza\
        \ el nivel de seguridad ALTO."
    - ref_id: C
      name: 'Confidencialidad '
      description: Dimensiones de la seguridad
    - ref_id: I
      name: Integridad
      description: Dimensiones de la seguridad
    - ref_id: T
      name: Trazabilidad
      description: Dimensiones de la seguridad
    - ref_id: A
      name: Autenticidad
      description: Dimensiones de la seguridad
    - ref_id: D
      name: Disponibilidad
      description: Dimensiones de la seguridad
    requirement_nodes:
    - urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:cap\xEDtulo-i"
      assessable: false
      depth: 1
      ref_id: "CAP\xCDTULO I"
      name: Disposiciones generales
    - urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xEDculo-1"
      assessable: false
      depth: 2
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:cap\xED\
        tulo-i"
      ref_id: "Art\xEDculo 1"
      name: Objeto.
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:1.1
      assessable: false
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-1"
      ref_id: '1.1'
      description: "Este real decreto tiene por objeto regular el Esquema Nacional\
        \ de Seguridad (en adelante, ENS), establecido en el art\xEDculo 156.2 de\
        \ la Ley 40/2015, de 1 de octubre, de R\xE9gimen Jur\xEDdico del Sector P\xFA\
        blico."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:1.2
      assessable: false
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-1"
      ref_id: '1.2'
      description: " El ENS est\xE1 constituido por los principios b\xE1sicos y requisitos\
        \ m\xEDnimos necesarios para una protecci\xF3n adecuada de la informaci\xF3\
        n tratada y los servicios prestados por las entidades de su \xE1mbito de aplicaci\xF3\
        n, con objeto de asegurar el acceso, la confidencialidad, la integridad, la\
        \ trazabilidad, la autenticidad, la disponibilidad y la conservaci\xF3n de\
        \ los datos, la informaci\xF3n y los servicios utilizados por medios electr\xF3\
        nicos que gestionen en el ejercicio de sus competencias."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:1.3
      assessable: false
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-1"
      ref_id: '1.3'
      description: "Lo dispuesto en este real decreto, por cuanto afecta a los sistemas\
        \ de informaci\xF3n utilizados para la prestaci\xF3n de los servicios p\xFA\
        blicos, deber\xE1 considerarse comprendido en los recursos y procedimientos\
        \ integrantes del Sistema de Seguridad Nacional recogidos en la Ley 36/2015,\
        \ de 28 de septiembre, de Seguridad Nacional."
    - urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xEDculo-2"
      assessable: false
      depth: 2
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:cap\xED\
        tulo-i"
      ref_id: "Art\xEDculo 2"
      name: "\xC1mbito de aplicaci\xF3n"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:2.1
      assessable: false
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-2"
      ref_id: '2.1'
      description: "El presente real decreto es de aplicaci\xF3n a todo el sector\
        \ p\xFAblico, en los t\xE9rminos en que este se define por el art\xEDculo\
        \ 2 de la Ley 40/2015, de 1 de octubre, y de acuerdo con lo previsto en el\
        \ art\xEDculo 156.2 de la misma"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:2.2
      assessable: false
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-2"
      ref_id: '2.2'
      description: "Asimismo, sin perjuicio de la aplicaci\xF3n de la Ley 9/1968,\
        \ de 5 de abril, de Secretos Oficiales y otra normativa especial, este real\
        \ decreto ser\xE1 de aplicaci\xF3n a los sistemas que tratan informaci\xF3\
        n clasificada, pudiendo resultar necesario adoptar medidas complementarias\
        \ de seguridad, espec\xEDficas para dichos sistemas, derivadas de los compromisos\
        \ internacionales contra\xEDdos por Espa\xF1a o de su pertenencia a organismos\
        \ o foros internacionales"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:2.3
      assessable: false
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-2"
      ref_id: '2.3'
      description: "Este real decreto tambi\xE9n se aplica a los sistemas de informaci\xF3\
        n de las entidades del sector privado, incluida la obligaci\xF3n de contar\
        \ con la pol\xEDtica de seguridad a que se refiere el art\xEDculo 12, cuando,\
        \ de acuerdo con la normativa aplicable y en virtud de una relaci\xF3n contractual,\
        \ presten servicios o provean soluciones a las entidades del sector p\xFA\
        blico para el ejercicio por estas de sus competencias y potestades administrativas"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node11
      assessable: false
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-2"
      description: "La pol\xEDtica de seguridad a que se refiere el art\xEDculo 12\
        \ ser\xE1 aprobada en el caso de estas entidades por el \xF3rgano que ostente\
        \ las m\xE1ximas competencias ejecutivas."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node12
      assessable: false
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-2"
      description: "Los pliegos de prescripciones administrativas o t\xE9cnicas de\
        \ los contratos que celebren las entidades del sector p\xFAblico incluidas\
        \ en el \xE1mbito de aplicaci\xF3n de este real decreto contemplar\xE1n todos\
        \ aquellos requisitos necesarios para asegurar la conformidad con el ENS de\
        \ los sistemas de informaci\xF3n en los que se sustenten los servicios prestados\
        \ por los contratistas, tales como la presentaci\xF3n de las correspondientes\
        \ Declaraciones o Certificaciones de Conformidad con el ENS"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node13
      assessable: false
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-2"
      description: "Esta cautela se extender\xE1 tambi\xE9n a la cadena de suministro\
        \ de dichos contratistas, en la medida que sea necesario y de acuerdo con\
        \ los resultados del correspondiente an\xE1lisis de riesgos."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:2.4
      assessable: false
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-2"
      ref_id: '2.4'
      description: "Cuando las entidades del sector p\xFAblico lleven a cabo la instalaci\xF3\
        n, despliegue y explotaci\xF3n de redes 5G o la prestaci\xF3n de servicios\
        \ 5G, adem\xE1s de las previsiones de este real decreto ser\xE1 de aplicaci\xF3\
        n lo establecido en el Real Decreto-ley 7/2022, de 29 de marzo, sobre requisitos\
        \ para garantizar la seguridad de las redes y servicios de comunicaciones\
        \ electr\xF3nicas de quinta generaci\xF3n, en particular, lo dispuesto en\
        \ su art\xEDculo 17 relativo a la gesti\xF3n de seguridad por las administraciones\
        \ p\xFAblicas, as\xED como su normativa de desarrollo"
    - urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xEDculo-3"
      assessable: false
      depth: 2
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:cap\xED\
        tulo-i"
      ref_id: "Art\xEDculo 3"
      name: "Sistemas de informaci\xF3n que traten datos personales"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:3.1
      assessable: false
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-3"
      ref_id: '3.1'
      description: "Cuando un sistema de informaci\xF3n trate datos personales le\
        \ ser\xE1 de aplicaci\xF3n lo dispuesto en el Reglamento (UE) 2016/679 del\
        \ Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la\
        \ protecci\xF3n de las personas f\xEDsicas en lo que respecta al tratamiento\
        \ de datos personales y a la libre circulaci\xF3n de estos datos y por el\
        \ que se deroga la Directiva 95/46/CE (Reglamento General de Protecci\xF3\
        n de Datos) y en la Ley Org\xE1nica 3/2018, de 5 de diciembre, de Protecci\xF3\
        n de Datos Personales y garant\xEDa de los derechos digitales, o, en su caso,\
        \ la Ley Org\xE1nica 7/2021, de 26 de mayo, de protecci\xF3n de datos personales\
        \ tratados para fines de prevenci\xF3n, detecci\xF3n, investigaci\xF3n y enjuiciamiento\
        \ de infracciones penales y de ejecuci\xF3n de sanciones penales, el resto\
        \ de normativa de aplicaci\xF3n, as\xED como los criterios que se establezcan\
        \ por la Agencia Espa\xF1ola de Protecci\xF3n de Datos o en su \xE1mbito competencial,\
        \ por las autoridades auton\xF3micas de protecci\xF3n de datos, sin perjuicio\
        \ de los requisitos establecidos en el presente real decreto"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:3.2
      assessable: true
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-3"
      ref_id: '3.2'
      description: "En estos supuestos, el responsable o el encargado del tratamiento,\
        \ asesorado por el delegado de protecci\xF3n de datos, realizar\xE1n un an\xE1\
        lisis de riesgos conforme al art\xEDculo 24 del Reglamento General de Protecci\xF3\
        n de Datos y, en los supuestos de su art\xEDculo 35, una evaluaci\xF3n de\
        \ impacto en la protecci\xF3n de datos"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:3.3
      assessable: true
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-3"
      ref_id: '3.3'
      description: "En todo caso, prevalecer\xE1n las medidas a implantar como consecuencia\
        \ del an\xE1lisis de riesgos y, en su caso, de la evaluaci\xF3n de impacto\
        \ a los que se refiere el apartado anterior, en caso de resultar agravadas\
        \ respecto de las previstas en el presente real decreto."
    - urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xEDculo-4"
      assessable: false
      depth: 2
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:cap\xED\
        tulo-i"
      ref_id: "Art\xEDculo 4"
      name: Definiciones
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node20
      assessable: false
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-4"
      description: "A los efectos previstos en este real decreto, las definiciones,\
        \ palabras, expresiones y t\xE9rminos han de ser entendidos en el sentido\
        \ indicado en el Glosario de t\xE9rminos incluido en el anexo IV"
    - urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:cap\xEDtulo-ii"
      assessable: false
      depth: 1
      ref_id: "CAP\xCDTULO II"
      name: "Principios b\xE1sicos"
    - urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xEDculo-5"
      assessable: false
      depth: 2
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:cap\xED\
        tulo-ii"
      ref_id: "Art\xEDculo 5"
      name: "Principios b\xE1sicos del Esquema Nacional de Seguridad."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node23
      assessable: false
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-5"
      description: "El objeto \xFAltimo de la seguridad de la informaci\xF3n es garantizar\
        \ que una organizaci\xF3n podr\xE1 cumplir sus objetivos, desarrollar sus\
        \ funciones y ejercer sus competencias utilizando sistemas de informaci\xF3\
        n. Por ello, en materia de seguridad de la informaci\xF3n deber\xE1n tenerse\
        \ en cuenta los siguientes principios b\xE1sicos"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:5.a
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node23
      ref_id: 5.a
      description: Seguridad como proceso integral.
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:5.b
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node23
      ref_id: 5.b
      description: "Gesti\xF3n de la seguridad basada en los riesgos."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:5.c
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node23
      ref_id: 5.c
      description: "Prevenci\xF3n, detecci\xF3n, respuesta y conservaci\xF3n."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:5.d
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node23
      ref_id: 5.d
      description: "Existencia de l\xEDneas de defensa."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:5.e
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node23
      ref_id: 5.e
      description: Vigilancia continua.
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:5.f
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node23
      ref_id: 5.f
      description: "Reevaluaci\xF3n peri\xF3dica."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:5.g
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node23
      ref_id: 5.g
      description: "Diferenciaci\xF3n de responsabilidades."
    - urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xEDculo-6"
      assessable: false
      depth: 2
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:cap\xED\
        tulo-ii"
      ref_id: "Art\xEDculo 6"
      name: La seguridad como un proceso integral
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:6.1
      assessable: true
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-6"
      ref_id: '6.1'
      description: "La seguridad se entiende como un proceso integral constituido\
        \ por todos los elementos humanos, materiales, t\xE9cnicos, jur\xEDdicos y\
        \ organizativos relacionados con el sistema de informaci\xF3n. La aplicaci\xF3\
        n del ENS estar\xE1 presidida por este principio, que excluye cualquier actuaci\xF3\
        n puntual o tratamiento coyuntural"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:6.2
      assessable: true
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-6"
      ref_id: '6.2'
      description: "Se prestar\xE1 la m\xE1xima atenci\xF3n a la concienciaci\xF3\
        n de las personas que intervienen en el proceso y la de los responsables jer\xE1\
        rquicos, para evitar que, la ignorancia, la falta de organizaci\xF3n y de\
        \ coordinaci\xF3n o de instrucciones adecuadas, constituyan fuentes de riesgo\
        \ para la seguridad"
    - urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xEDculo-7"
      assessable: false
      depth: 2
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:cap\xED\
        tulo-ii"
      ref_id: "Art\xEDculo 7"
      name: "Gesti\xF3n de la seguridad basada en los riesgos"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:7.1
      assessable: true
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-7"
      ref_id: '7.1'
      description: "El an\xE1lisis y la gesti\xF3n de los riesgos es parte esencial\
        \ del proceso de seguridad, debiendo constituir una actividad continua y permanentemente\
        \ actualizada"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:7.2
      assessable: true
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-7"
      ref_id: '7.2'
      description: "La gesti\xF3n de los riesgos permitir\xE1 el mantenimiento de\
        \ un entorno controlado, minimizando los riesgos a niveles aceptables. La\
        \ reducci\xF3n a estos niveles se realizar\xE1 mediante una apropiada aplicaci\xF3\
        n de medidas de seguridad, de manera equilibrada y proporcionada a la naturaleza\
        \ de la informaci\xF3n tratada, de los servicios a prestar y de los riesgos\
        \ a los que est\xE9n expuestos"
    - urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xEDculo-8"
      assessable: false
      depth: 2
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:cap\xED\
        tulo-ii"
      ref_id: "Art\xEDculo 8"
      name: "Prevenci\xF3n, detecci\xF3n, respuesta y conservaci\xF3n"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:8.1
      assessable: true
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-8"
      ref_id: '8.1'
      description: "La seguridad del sistema debe contemplar las acciones relativas\
        \ a los aspectos de prevenci\xF3n, detecci\xF3n y respuesta, al objeto de\
        \ minimizar sus vulnerabilidades y lograr que las amenazas sobre el mismo\
        \ no se materialicen o que, en el caso de hacerlo, no afecten gravemente a\
        \ la informaci\xF3n que maneja o a los servicios que presta"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:8.2
      assessable: true
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-8"
      ref_id: '8.2'
      description: "Las medidas de prevenci\xF3n, que podr\xE1n incorporar componentes\
        \ orientados a la disuasi\xF3n o a la reducci\xF3n de la superficie de exposici\xF3\
        n, deben eliminar o reducir la posibilidad de que las amenazas lleguen a materializarse"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:8.3
      assessable: true
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-8"
      ref_id: '8.3'
      description: "Las medidas de detecci\xF3n ir\xE1n dirigidas a descubrir la presencia\
        \ de un ciberincidente"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:8.4
      assessable: true
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-8"
      ref_id: '8.4'
      description: "Las medidas de respuesta, que se gestionar\xE1n en tiempo oportuno,\
        \ estar\xE1n orientadas a la restauraci\xF3n de la informaci\xF3n y los servicios\
        \ que pudieran haberse visto afectados por un incidente de seguridad"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:8.5
      assessable: true
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-8"
      ref_id: '8.5'
      description: "Sin merma de los restantes principios b\xE1sicos y requisitos\
        \ m\xEDnimos establecidos, el sistema de informaci\xF3n garantizar\xE1 la\
        \ conservaci\xF3n de los datos e informaci\xF3n en soporte electr\xF3nico"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node43
      assessable: true
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-8"
      description: "De igual modo, el sistema mantendr\xE1 disponibles los servicios\
        \ durante todo el ciclo vital de la informaci\xF3n digital, a trav\xE9s de\
        \ una concepci\xF3n y procedimientos que sean la base para la preservaci\xF3\
        n del patrimonio digital"
    - urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xEDculo-9"
      assessable: false
      depth: 2
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:cap\xED\
        tulo-ii"
      ref_id: "Art\xEDculo 9"
      name: "Existencia de l\xEDneas de defensa"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:9.1
      assessable: true
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-9"
      ref_id: '9.1'
      description: "El sistema de informaci\xF3n ha de disponer de una estrategia\
        \ de protecci\xF3n constituida por m\xFAltiples capas de seguridad, dispuesta\
        \ de forma que, cuando una de las capas sea comprometida, permita"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:9.1.a
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:9.1
      ref_id: 9.1.a
      description: "Desarrollar una reacci\xF3n adecuada frente a los incidentes que\
        \ no han podido evitarse, reduciendo la probabilidad de que el sistema sea\
        \ comprometido en su conjunto"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:9.1.b
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:9.1
      ref_id: 9.1.b
      description: Minimizar el impacto final sobre el mismo
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:9.2
      assessable: true
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-9"
      ref_id: '9.2'
      description: " Las l\xEDneas de defensa han de estar constituidas por medidas\
        \ de naturaleza organizativa, f\xEDsica y l\xF3gica"
    - urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xEDculo-10"
      assessable: false
      depth: 2
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:cap\xED\
        tulo-ii"
      ref_id: "Art\xEDculo 10"
      name: "Vigilancia continua y reevaluaci\xF3n peri\xF3dica"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:10.1
      assessable: true
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-10"
      ref_id: '10.1'
      description: "La vigilancia continua permitir\xE1 la detecci\xF3n de actividades\
        \ o comportamientos an\xF3malos y su oportuna respuesta"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:10.2
      assessable: true
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-10"
      ref_id: '10.2'
      description: "La evaluaci\xF3n permanente del estado de la seguridad de los\
        \ activos permitir\xE1 medir su evoluci\xF3n, detectando vulnerabilidades\
        \ e identificando deficiencias de configuraci\xF3n"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:10.3
      assessable: true
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-10"
      ref_id: '10.3'
      description: "Las medidas de seguridad se reevaluar\xE1n y actualizar\xE1n peri\xF3\
        dicamente, adecuando su eficacia a la evoluci\xF3n de los riesgos y los sistemas\
        \ de protecci\xF3n, pudiendo llegar a un replanteamiento de la seguridad,\
        \ si fuese necesario"
    - urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xEDculo-11"
      assessable: false
      depth: 2
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:cap\xED\
        tulo-ii"
      ref_id: "Art\xEDculo 11"
      name: "Diferenciaci\xF3n de responsabilidades"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:11.1
      assessable: false
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-11"
      ref_id: '11.1'
      description: "En los sistemas de informaci\xF3n se diferenciar\xE1 el responsable\
        \ de la informaci\xF3n, el responsable del servicio, el responsable de la\
        \ seguridad y el responsable del sistema"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:11.2
      assessable: true
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-11"
      ref_id: '11.2'
      description: "La responsabilidad de la seguridad de los sistemas de informaci\xF3\
        n estar\xE1 diferenciada de la responsabilidad sobre la explotaci\xF3n de\
        \ los sistemas de informaci\xF3n concernidos"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:11.3
      assessable: true
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-11"
      ref_id: '11.3'
      description: "La pol\xEDtica de seguridad de la organizaci\xF3n detallar\xE1\
        \ las atribuciones de cada responsable y los mecanismos de coordinaci\xF3\
        n y resoluci\xF3n de conflictos"
    - urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:cap\xEDtulo-iii"
      assessable: false
      depth: 1
      ref_id: "CAP\xCDTULO III"
      name: "Pol\xEDtica de seguridad y requisitos m\xEDnimos de seguridad"
    - urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xEDculo-12"
      assessable: false
      depth: 2
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:cap\xED\
        tulo-iii"
      ref_id: "Art\xEDculo 12"
      name: "Pol\xEDtica de seguridad y requisitos m\xEDnimos de seguridad"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:12.1
      assessable: false
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-12"
      ref_id: '12.1'
      description: "La pol\xEDtica de seguridad de la informaci\xF3n es el conjunto\
        \ de directrices que rigen la forma en que una organizaci\xF3n gestiona y\
        \ protege la informaci\xF3n que trata y los servicios que presta. A tal efecto,\
        \ el instrumento que apruebe dicha pol\xEDtica de seguridad deber\xE1 incluir,\
        \ como m\xEDnimo, los siguientes extremos"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:12.1.a
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:12.1
      ref_id: 12.1.a
      description: "Los objetivos o misi\xF3n de la organizaci\xF3n."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:12.1.b
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:12.1
      ref_id: 12.1.b
      description: "El marco regulatorio en el que se desarrollar\xE1n las actividades."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:12.1.c
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:12.1
      ref_id: 12.1.c
      description: "Los roles o funciones de seguridad, definiendo para cada uno,\
        \ sus deberes y responsabilidades, as\xED como el procedimiento para su designaci\xF3\
        n y renovaci\xF3n"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:12.1.d
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:12.1
      ref_id: 12.1.d
      description: "La estructura y composici\xF3n del comit\xE9 o los comit\xE9s\
        \ para la gesti\xF3n y coordinaci\xF3n de la seguridad, detallando su \xE1\
        mbito de responsabilidad y la relaci\xF3n con otros elementos de la organizaci\xF3\
        n"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:12.1.e
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:12.1
      ref_id: 12.1.e
      description: "Las directrices para la estructuraci\xF3n de la documentaci\xF3\
        n de seguridad del sistema, su gesti\xF3n y acceso"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:12.1.f
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:12.1
      ref_id: 12.1.f
      description: Los riesgos que se derivan del tratamiento de los datos personales
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:12.2
      assessable: true
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-12"
      ref_id: '12.2'
      description: "Cada administraci\xF3n p\xFAblica contar\xE1 con una pol\xEDtica\
        \ de seguridad formalmente aprobada por el \xF3rgano competente. Asimismo,\
        \ cada \xF3rgano o entidad con personalidad jur\xEDdica propia comprendido\
        \ en el \xE1mbito subjetivo del art\xEDculo 2 deber\xE1 contar con una pol\xED\
        tica de seguridad formalmente aprobada por el \xF3rgano competente"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node67
      assessable: true
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-12"
      description: "No obstante, la totalidad o una parte de los sujetos de un sector\
        \ p\xFAblico institucional podr\xE1n quedar incluidos en el \xE1mbito subjetivo\
        \ de la pol\xEDtica de seguridad aprobada por la Administraci\xF3n con la\
        \ que guarden relaci\xF3n de vinculaci\xF3n, dependencia o adscripci\xF3n,\
        \ cuando as\xED lo determinen los \xF3rganos competentes en el ejercicio de\
        \ las potestades de organizaci\xF3n."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:12.3
      assessable: false
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-12"
      ref_id: '12.3'
      description: "En la Administraci\xF3n General del Estado, cada ministerio contar\xE1\
        \ con su pol\xEDtica de seguridad, que aprobar\xE1 la persona titular del\
        \ Departamento. Los organismos p\xFAblicos y entidades pertenecientes al sector\
        \ p\xFAblico institucional estatal podr\xE1n contar con su propia pol\xED\
        tica de seguridad, aprobada por el \xF3rgano competente, que ser\xE1 coherente\
        \ con la del Departamento con el que mantenga la relaci\xF3n de vinculaci\xF3\
        n, dependencia o adscripci\xF3n, o bien quedar comprendidos en el \xE1mbito\
        \ subjetivo de la pol\xEDtica de seguridad de este. Tambi\xE9n podr\xE1n contar\
        \ con su propia pol\xEDtica de seguridad, aprobada por el \xF3rgano competente,\
        \ coherente con la del Departamento del que dependan o al que est\xE9n adscritos,\
        \ los centros directivos de la propia Administraci\xF3n General del Estado\
        \ que gestionen servicios bajo la declaraci\xF3n de servicios compartidos."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:12.4
      assessable: false
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-12"
      ref_id: '12.4'
      description: "La Secretar\xEDa General de Administraci\xF3n Digital del Ministerio\
        \ de Asuntos Econ\xF3micos y Transformaci\xF3n Digital dispondr\xE1 de su\
        \ propia pol\xEDtica de seguridad, que ser\xE1 aprobada por la persona titular\
        \ de la misma."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:12.5
      assessable: true
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-12"
      ref_id: '12.5'
      description: "Los municipios podr\xE1n disponer de una pol\xEDtica de seguridad\
        \ com\xFAn elaborada por la entidad local comarcal o provincial que asuma\
        \ la responsabilidad de la seguridad de la informaci\xF3n de los sistemas\
        \ municipales"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:12.6
      assessable: true
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-12"
      ref_id: '12.6'
      description: "La pol\xEDtica de seguridad se establecer\xE1 de acuerdo con los\
        \ principios b\xE1sicos se\xF1alados en el cap\xEDtulo II y se desarrollar\xE1\
        \ aplicando los siguientes requisitos m\xEDnimos:"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:12.6.a
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:12.6
      ref_id: 12.6.a
      description: "Organizaci\xF3n e implantaci\xF3n del proceso de seguridad."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:12.6.b
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:12.6
      ref_id: 12.6.b
      description: "An\xE1lisis y gesti\xF3n de los riesgos."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:12.6.c
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:12.6
      ref_id: 12.6.c
      description: "Gesti\xF3n de personal."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:12.6.d
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:12.6
      ref_id: 12.6.d
      description: Profesionalidad.
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:12.6.e
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:12.6
      ref_id: 12.6.e
      description: "Autorizaci\xF3n y control de los accesos."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:12.6.f
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:12.6
      ref_id: 12.6.f
      description: "Protecci\xF3n de las instalaciones."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:12.6.g
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:12.6
      ref_id: 12.6.g
      description: "Adquisici\xF3n de productos de seguridad y contrataci\xF3n de\
        \ servicios de seguridad."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:12.6.h
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:12.6
      ref_id: 12.6.h
      description: "M\xEDnimo privilegio."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:12.6.i
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:12.6
      ref_id: 12.6.i
      description: "Integridad y actualizaci\xF3n del sistema."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:12.6.j
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:12.6
      ref_id: 12.6.j
      description: "Protecci\xF3n de la informaci\xF3n almacenada y en tr\xE1nsito."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:12.6.k
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:12.6
      ref_id: 12.6.k
      description: "Prevenci\xF3n ante otros sistemas de informaci\xF3n interconectados."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:12.6.l
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:12.6
      ref_id: 12.6.l
      description: "Registro de la actividad y detecci\xF3n de c\xF3digo da\xF1ino."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:12.6.m
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:12.6
      ref_id: 12.6.m
      description: Incidentes de seguridad.
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:12.6.n
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:12.6
      ref_id: 12.6.n
      description: Continuidad de la actividad.
    - urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:12.6.\xF1"
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:12.6
      ref_id: "12.6.\xF1"
      description: Mejora continua del proceso de seguridad.
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:12.7
      assessable: true
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-12"
      ref_id: '12.7'
      description: "Los requisitos m\xEDnimos se exigir\xE1n en proporci\xF3n a los\
        \ riesgos identificados en cada sistema, de conformidad con lo dispuesto en\
        \ el art\xEDculo 28, alguno de los cuales podr\xE1 obviarse en sistemas sin\
        \ riesgos significativos"
    - urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xEDculo-13"
      assessable: false
      depth: 2
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:cap\xED\
        tulo-iii"
      ref_id: "Art\xEDculo 13"
      name: "Organizaci\xF3n e implantaci\xF3n del proceso de seguridad"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:13.1
      assessable: true
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-13"
      ref_id: '13.1'
      description: "La seguridad de los sistemas de informaci\xF3n deber\xE1 comprometer\
        \ a todos los miembros de la organizaci\xF3n"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:13.2
      assessable: true
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-13"
      ref_id: '13.2'
      description: "La pol\xEDtica de seguridad, en aplicaci\xF3n del principio de\
        \ diferenciaci\xF3n de responsabilidades a que se refiere el art\xEDculo 11\
        \ y seg\xFAn se detalla en la secci\xF3n 3.1 del anexo II, deber\xE1 ser conocida\
        \ por todas las personas que formen parte de la organizaci\xF3n e identificar\
        \ de forma inequ\xEDvoca a los responsables de velar por su cumplimiento,\
        \ los cuales tendr\xE1n las siguientes funciones"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:13.2.a
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:13.2
      ref_id: 13.2.a
      description: "El responsable de la informaci\xF3n determinar\xE1 los requisitos\
        \ de la informaci\xF3n tratada"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:13.2.b
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:13.2
      ref_id: 13.2.b
      description: "El responsable del servicio determinar\xE1 los requisitos de los\
        \ servicios prestados."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:13.2.c
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:13.2
      ref_id: 13.2.c
      description: "El responsable de la seguridad determinar\xE1 las decisiones para\
        \ satisfacer los requisitos de seguridad de la informaci\xF3n y de los servicios,\
        \ supervisar\xE1 la implantaci\xF3n de las medidas necesarias para garantizar\
        \ que se satisfacen los requisitos y reportar\xE1 sobre estas cuestiones."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:13.2.d
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:13.2
      ref_id: 13.2.d
      description: "El responsable del sistema, por s\xED o a trav\xE9s de recursos\
        \ propios o contratados, se encargar\xE1 de desarrollar la forma concreta\
        \ de implementar la seguridad en el sistema y de la supervisi\xF3n de la operaci\xF3\
        n diaria del mismo, pudiendo delegar en administradores u operadores bajo\
        \ su responsabilidad."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:13.3
      assessable: true
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-13"
      ref_id: '13.3'
      description: "El responsable de la seguridad ser\xE1 distinto del responsable\
        \ del sistema, no debiendo existir dependencia jer\xE1rquica entre ambos.\
        \ En aquellas situaciones excepcionales en las que la ausencia justificada\
        \ de recursos haga necesario que ambas funciones recaigan en la misma persona\
        \ o en distintas personas entre las que exista relaci\xF3n jer\xE1rquica,\
        \ deber\xE1n aplicarse medidas compensatorias para garantizar la finalidad\
        \ del principio de diferenciaci\xF3n de responsabilidades previsto en el art\xED\
        culo 11."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:13.4
      assessable: true
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-13"
      ref_id: '13.4'
      description: "Una Instrucci\xF3n T\xE9cnica de Seguridad regular\xE1 el Esquema\
        \ de Certificaci\xF3n de Responsables de la Seguridad, que recoger\xE1 las\
        \ condiciones y requisitos exigibles a esta figura."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:13.5
      assessable: true
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-13"
      ref_id: '13.5'
      description: "En el caso de servicios externalizados, salvo por causa justificada\
        \ y documentada, la organizaci\xF3n prestataria de dichos servicios deber\xE1\
        \ designar un POC (Punto o Persona de Contacto) para la seguridad de la informaci\xF3\
        n tratada y el servicio prestado, que cuente con el apoyo de los \xF3rganos\
        \ de direcci\xF3n, y que canalice y supervise, tanto el cumplimiento de los\
        \ requisitos de seguridad del servicio que presta o soluci\xF3n que provea,\
        \ como las comunicaciones relativas a la seguridad de la informaci\xF3n y\
        \ la gesti\xF3n de los incidentes para el \xE1mbito de dicho servicio."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node98
      assessable: true
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-13"
      description: "Dicho POC de seguridad ser\xE1 el propio Responsable de Seguridad\
        \ de la organizaci\xF3n contratada, formar\xE1 parte de su \xE1rea o tendr\xE1\
        \ comunicaci\xF3n directa con la misma. Todo ello sin perjuicio de que la\
        \ responsabilidad \xFAltima resida en la entidad del sector p\xFAblico destinataria\
        \ de los citados servicios."
    - urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xEDculo-14"
      assessable: false
      depth: 2
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:cap\xED\
        tulo-iii"
      ref_id: "Art\xEDculo 14"
      name: "An\xE1lisis y gesti\xF3n de los riesgos"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:14.1
      assessable: true
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-14"
      ref_id: '14.1'
      description: "Cada organizaci\xF3n que desarrolle e implante sistemas para el\
        \ tratamiento de la informaci\xF3n o la prestaci\xF3n de servicios realizar\xE1\
        \ su propia gesti\xF3n de riesgos."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:14.2
      assessable: true
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-14"
      ref_id: '14.2'
      description: "Esta gesti\xF3n se realizar\xE1 por medio del an\xE1lisis y tratamiento\
        \ de los riesgos a los que est\xE1 expuesto el sistema. Sin perjuicio de lo\
        \ dispuesto en el anexo II, se emplear\xE1 alguna metodolog\xEDa reconocida\
        \ internacionalmente."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:14.3
      assessable: true
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-14"
      ref_id: '14.3'
      description: "Las medidas adoptadas para mitigar o suprimir los riesgos deber\xE1\
        n estar justificadas y, en todo caso, existir\xE1 una proporcionalidad entre\
        \ ellas y los riesgos."
    - urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xEDculo-15"
      assessable: false
      depth: 2
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:cap\xED\
        tulo-iii"
      ref_id: "Art\xEDculo 15"
      name: "Gesti\xF3n de personal"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:15.1
      assessable: true
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-15"
      ref_id: '15.1'
      description: "El personal, propio o ajeno, relacionado con los sistemas de informaci\xF3\
        n sujetos a lo dispuesto en este real decreto, deber\xE1 ser formado e informado\
        \ de sus deberes, obligaciones y responsabilidades en materia de seguridad.\
        \ Su actuaci\xF3n, que deber\xE1 ser supervisada para verificar que se siguen\
        \ los procedimientos establecidos, aplicar\xE1 las normas y procedimientos\
        \ operativos de seguridad aprobados en el desempe\xF1o de sus cometidos."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:15.2
      assessable: true
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-15"
      ref_id: '15.2'
      description: "El significado y alcance del uso seguro del sistema se concretar\xE1\
        \ y plasmar\xE1 en unas normas de seguridad que ser\xE1n aprobadas por la\
        \ direcci\xF3n o el \xF3rgano superior correspondiente."
    - urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xEDculo-16"
      assessable: false
      depth: 2
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:cap\xED\
        tulo-iii"
      ref_id: "Art\xEDculo 16"
      name: Profesionalidad
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:16.1
      assessable: true
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-16"
      ref_id: '16.1'
      description: "La seguridad de los sistemas de informaci\xF3n estar\xE1 atendida\
        \ y ser\xE1 revisada y auditada por personal cualificado, dedicado e instruido\
        \ en todas las fases de su ciclo de vida: planificaci\xF3n, dise\xF1o, adquisici\xF3\
        n, construcci\xF3n, despliegue, explotaci\xF3n, mantenimiento, gesti\xF3n\
        \ de incidencias y desmantelamiento."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:16.2
      assessable: true
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-16"
      ref_id: '16.2'
      description: "Las entidades del \xE1mbito de aplicaci\xF3n de este real decreto\
        \ exigir\xE1n, de manera objetiva y no discriminatoria, que las organizaciones\
        \ que les presten servicios de seguridad cuenten con profesionales cualificados\
        \ y con unos niveles id\xF3neos de gesti\xF3n y madurez en los servicios prestados."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:16.3
      assessable: true
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-16"
      ref_id: '16.3'
      description: "Las organizaciones determinar\xE1n los requisitos de formaci\xF3\
        n y experiencia necesaria del personal para el desarrollo de su puesto de\
        \ trabajo."
    - urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xEDculo-17"
      assessable: false
      depth: 2
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:cap\xED\
        tulo-iii"
      ref_id: "Art\xEDculo 17"
      name: "Autorizaci\xF3n y control de los accesos"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node111
      assessable: true
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-17"
      description: "El acceso controlado a los sistemas de informaci\xF3n comprendidos\
        \ en el \xE1mbito de aplicaci\xF3n de este real decreto deber\xE1 estar limitado\
        \ a los usuarios, procesos, dispositivos u otros sistemas de informaci\xF3\
        n, debidamente autorizados, y exclusivamente a las funciones permitidas."
    - urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xEDculo-18"
      assessable: false
      depth: 2
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:cap\xED\
        tulo-iii"
      ref_id: "Art\xEDculo 18"
      name: "Protecci\xF3n de las instalaciones"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node113
      assessable: true
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-18"
      description: "Los sistemas de informaci\xF3n y su infraestructura de comunicaciones\
        \ asociada deber\xE1n permanecer en \xE1reas controladas y disponer de los\
        \ mecanismos de acceso adecuados y proporcionales en funci\xF3n del an\xE1\
        lisis de riesgos, sin perjuicio de lo establecido en la Ley 8/2011, de 28\
        \ de abril, por la que se establecen medidas para la protecci\xF3n de las\
        \ infraestructuras cr\xEDticas y en el Real Decreto 704/2011, de 20 de mayo,\
        \ por el que se aprueba el Reglamento de protecci\xF3n de las infraestructuras\
        \ cr\xEDticas."
    - urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xEDculo-19"
      assessable: false
      depth: 2
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:cap\xED\
        tulo-iii"
      ref_id: "Art\xEDculo 19"
      name: "Adquisici\xF3n de productos de seguridad y contrataci\xF3n de servicios\
        \ de seguridad"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:19.1
      assessable: true
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-19"
      ref_id: '19.1'
      description: "En la adquisici\xF3n de productos de seguridad o contrataci\xF3\
        n de servicios de seguridad de las tecnolog\xEDas de la informaci\xF3n y la\
        \ comunicaci\xF3n que vayan a ser empleados en los sistemas de informaci\xF3\
        n del \xE1mbito de aplicaci\xF3n de este real decreto, se utilizar\xE1n, de\
        \ forma proporcionada a la categor\xEDa del sistema y el nivel de seguridad\
        \ determinados, aquellos que tengan certificada la funcionalidad de seguridad\
        \ relacionada con el objeto de su adquisici\xF3n."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:19.2
      assessable: true
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-19"
      ref_id: '19.2'
      description: "El Organismo de Certificaci\xF3n del Esquema Nacional de Evaluaci\xF3\
        n y Certificaci\xF3n de Seguridad de las Tecnolog\xEDas de la Informaci\xF3\
        n del Centro Criptol\xF3gico Nacional (en adelante, CCN), constituido al amparo\
        \ de lo dispuesto en el art\xEDculo 2.2.c) del Real Decreto 421/2004, de 12\
        \ de marzo, por el que se regula el Centro Criptol\xF3gico Nacional, teniendo\
        \ en cuenta los criterios y metodolog\xEDas de evaluaci\xF3n nacionales e\
        \ internacionales reconocidas por este organismo y en funci\xF3n del uso previsto\
        \ del producto o servicio concreto dentro de sus competencias, determinar\xE1\
        \ los siguientes aspectos:"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:19.2.a
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:19.2
      ref_id: 19.2.a
      description: "Los requisitos funcionales de seguridad y de aseguramiento de\
        \ la certificaci\xF3n."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:19.2.b
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:19.2
      ref_id: 19.2.b
      description: Otras certificaciones de seguridad adicionales que se requieran
        normativamente.
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:19.2.c
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:19.2
      ref_id: 19.2.c
      description: Excepcionalmente, el criterio a seguir en los casos en que no existan
        productos o servicios certificados.
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:19.3
      assessable: true
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-19"
      ref_id: '19.3'
      description: "Para la contrataci\xF3n de servicios de seguridad se estar\xE1\
        \ a lo se\xF1alado en los apartados anteriores y a lo dispuesto en el art\xED\
        culo 16."
    - urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xEDculo-20"
      assessable: false
      depth: 2
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:cap\xED\
        tulo-iii"
      ref_id: "Art\xEDculo 20"
      name: "M\xEDnimo privilegio"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node122
      assessable: true
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-20"
      description: "Los sistemas de informaci\xF3n deben dise\xF1arse y configurarse\
        \ otorgando los m\xEDnimos privilegios necesarios para su correcto desempe\xF1\
        o, lo que implica incorporar los siguientes aspectos:"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:20.a
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node122
      ref_id: 20.a
      description: "El sistema proporcionar\xE1 la funcionalidad imprescindible para\
        \ que la organizaci\xF3n alcance sus objetivos competenciales o contractuales."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:20.b
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node122
      ref_id: 20.b
      description: "Las funciones de operaci\xF3n, administraci\xF3n y registro de\
        \ actividad ser\xE1n las m\xEDnimas necesarias, y se asegurar\xE1 que s\xF3\
        lo son desarrolladas por las personas autorizadas, desde emplazamientos o\
        \ equipos asimismo autorizados; pudiendo exigirse, en su caso, restricciones\
        \ de horario y puntos de acceso facultados."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:20.c
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node122
      ref_id: 20.c
      description: "Se eliminar\xE1n o desactivar\xE1n, mediante el control de la\
        \ configuraci\xF3n, las funciones que sean innecesarias o inadecuadas al fin\
        \ que se persigue. El uso ordinario del sistema ha de ser sencillo y seguro,\
        \ de forma que una utilizaci\xF3n insegura requiera de un acto consciente\
        \ por parte del usuario."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:20.d
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node122
      ref_id: 20.d
      description: "Se aplicar\xE1n gu\xEDas de configuraci\xF3n de seguridad para\
        \ las diferentes tecnolog\xEDas, adaptadas a la categorizaci\xF3n del sistema,\
        \ al efecto de eliminar o desactivar las funciones que sean innecesarias o\
        \ inadecuadas."
    - urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xEDculo-21"
      assessable: false
      depth: 2
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:cap\xED\
        tulo-iii"
      ref_id: "Art\xEDculo 21"
      name: "Integridad y actualizaci\xF3n del sistema"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:21.1
      assessable: true
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-21"
      ref_id: '21.1'
      description: "La inclusi\xF3n de cualquier elemento f\xEDsico o l\xF3gico en\
        \ el cat\xE1logo actualizado de activos del sistema, o su modificaci\xF3n,\
        \ requerir\xE1 autorizaci\xF3n formal previa."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:21.2
      assessable: true
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-21"
      ref_id: '21.2'
      description: "La evaluaci\xF3n y monitorizaci\xF3n permanentes permitir\xE1\
        n adecuar el estado de seguridad de los sistemas atendiendo a las deficiencias\
        \ de configuraci\xF3n, las vulnerabilidades identificadas y las actualizaciones\
        \ que les afecten, as\xED como la detecci\xF3n temprana de cualquier incidente\
        \ que tenga lugar sobre los mismos."
    - urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xEDculo-22"
      assessable: false
      depth: 2
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:cap\xED\
        tulo-iii"
      ref_id: "Art\xEDculo 22"
      name: "Protecci\xF3n de informaci\xF3n almacenada y en tr\xE1nsito"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:22.1
      assessable: true
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-22"
      ref_id: '22.1'
      description: "En la organizaci\xF3n e implantaci\xF3n de la seguridad se prestar\xE1\
        \ especial atenci\xF3n a la informaci\xF3n almacenada o en tr\xE1nsito a trav\xE9\
        s de los equipos o dispositivos port\xE1tiles o m\xF3viles, los dispositivos\
        \ perif\xE9ricos, los soportes de informaci\xF3n y las comunicaciones sobre\
        \ redes abiertas, que deber\xE1n analizarse especialmente para lograr una\
        \ adecuada protecci\xF3n."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:22.2
      assessable: true
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-22"
      ref_id: '22.2'
      description: "Se aplicar\xE1n procedimientos que garanticen la recuperaci\xF3\
        n y conservaci\xF3n a largo plazo de los documentos electr\xF3nicos producidos\
        \ por los sistemas de informaci\xF3n comprendidos en el \xE1mbito de aplicaci\xF3\
        n de este real decreto, cuando ello sea exigible."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:22.3
      assessable: true
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-22"
      ref_id: '22.3'
      description: "Toda informaci\xF3n en soporte no electr\xF3nico que haya sido\
        \ causa o consecuencia directa de la informaci\xF3n electr\xF3nica a la que\
        \ se refiere este real decreto, deber\xE1 estar protegida con el mismo grado\
        \ de seguridad que \xE9sta. Para ello, se aplicar\xE1n las medidas que correspondan\
        \ a la naturaleza del soporte, de conformidad con las normas que resulten\
        \ de aplicaci\xF3n."
    - urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xEDculo-23"
      assessable: false
      depth: 2
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:cap\xED\
        tulo-iii"
      ref_id: "Art\xEDculo 23"
      name: "Prevenci\xF3n ante otros sistemas de informaci\xF3n interconectados"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node135
      assessable: true
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-23"
      description: "Se proteger\xE1 el per\xEDmetro del sistema de informaci\xF3n,\
        \ especialmente, si se conecta a redes p\xFAblicas, tal y como se definen\
        \ en la Ley 9/2014, de 9 de mayo, General de Telecomunicaciones, reforz\xE1\
        ndose las tareas de prevenci\xF3n, detecci\xF3n y respuesta a incidentes de\
        \ seguridad."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node136
      assessable: true
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-23"
      description: "En todo caso, se analizar\xE1n los riesgos derivados de la interconexi\xF3\
        n del sistema con otros sistemas y se controlar\xE1 su punto de uni\xF3n.\
        \ Para la adecuada interconexi\xF3n entre sistemas se estar\xE1 a lo dispuesto\
        \ en la Instrucci\xF3n T\xE9cnica de Seguridad correspondiente."
    - urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xEDculo-24"
      assessable: false
      depth: 2
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:cap\xED\
        tulo-iii"
      ref_id: "Art\xEDculo 24"
      name: "Registro de actividad y detecci\xF3n de c\xF3digo da\xF1ino."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:24.1
      assessable: true
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-24"
      ref_id: '24.1'
      description: "Con el prop\xF3sito de satisfacer el objeto de este real decreto,\
        \ con plenas garant\xEDas del derecho al honor, a la intimidad personal y\
        \ familiar y a la propia imagen de los afectados, y de acuerdo con la normativa\
        \ sobre protecci\xF3n de datos personales, de funci\xF3n p\xFAblica o laboral,\
        \ y dem\xE1s disposiciones que resulten de aplicaci\xF3n, se registrar\xE1\
        n las actividades de los usuarios, reteniendo la informaci\xF3n estrictamente\
        \ necesaria para monitorizar, analizar, investigar y documentar actividades\
        \ indebidas o no autorizadas, permitiendo identificar en cada momento a la\
        \ persona que act\xFAa."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:24.2
      assessable: true
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-24"
      ref_id: '24.2'
      description: "Al objeto de preservar la seguridad de los sistemas de informaci\xF3\
        n, garantizando la rigurosa observancia de los principios de actuaci\xF3n\
        \ de las Administraciones p\xFAblicas, y de conformidad con lo dispuesto en\
        \ el Reglamento General de Protecci\xF3n de Datos y el respeto a los principios\
        \ de limitaci\xF3n de la finalidad, minimizaci\xF3n de los datos y limitaci\xF3\
        n del plazo de conservaci\xF3n all\xED enunciados, los sujetos comprendidos\
        \ en el art\xEDculo 2 podr\xE1n, en la medida estrictamente necesaria y proporcionada,\
        \ analizar las comunicaciones entrantes o salientes, y \xFAnicamente para\
        \ los fines de seguridad de la informaci\xF3n, de forma que sea posible impedir\
        \ el acceso no autorizado a las redes y sistemas de informaci\xF3n, detener\
        \ los ataques de denegaci\xF3n de servicio, evitar la distribuci\xF3n malintencionada\
        \ de c\xF3digo da\xF1ino as\xED como otros da\xF1os a las antedichas redes\
        \ y sistemas de informaci\xF3n."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:24.3
      assessable: true
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-24"
      ref_id: '24.3'
      description: "Para corregir o, en su caso, exigir responsabilidades, cada usuario\
        \ que acceda al sistema de informaci\xF3n deber\xE1 estar identificado de\
        \ forma \xFAnica, de modo que se sepa, en todo momento, qui\xE9n recibe derechos\
        \ de acceso, de qu\xE9 tipo son \xE9stos, y qui\xE9n ha realizado una determinada\
        \ actividad."
    - urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xEDculo-25"
      assessable: false
      depth: 2
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:cap\xED\
        tulo-iii"
      ref_id: "Art\xEDculo 25"
      name: Incidentes de seguridad.
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:25.1
      assessable: false
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-25"
      ref_id: '25.1'
      description: "La entidad titular de los sistemas de informaci\xF3n del \xE1\
        mbito de este real decreto dispondr\xE1 de procedimientos de gesti\xF3n de\
        \ incidentes de seguridad de acuerdo con lo previsto en el art\xEDculo 33,\
        \ la Instrucci\xF3n T\xE9cnica de Seguridad correspondiente y, en caso de\
        \ tratarse de un operador de servicios esenciales o de un proveedor de servicios\
        \ digitales, de acuerdo con lo previsto en el anexo del Real Decreto 43/2021,\
        \ de 26 de enero, por el que se desarrolla el Real Decreto-ley 12/2018, de\
        \ 7 de septiembre, de seguridad de las redes y sistemas de informaci\xF3n."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:25.2
      assessable: false
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-25"
      ref_id: '25.2'
      description: "Asimismo, se dispondr\xE1 de mecanismos de detecci\xF3n, criterios\
        \ de clasificaci\xF3n, procedimientos de an\xE1lisis y resoluci\xF3n, as\xED\
        \ como de los cauces de comunicaci\xF3n a las partes interesadas y el registro\
        \ de las actuaciones. Este registro se emplear\xE1 para la mejora continua\
        \ de la seguridad del sistema."
    - urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xEDculo-26"
      assessable: false
      depth: 2
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:cap\xED\
        tulo-iii"
      ref_id: "Art\xEDculo 26"
      name: Continuidad de la actividad.
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node145
      assessable: true
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-26"
      description: "Los sistemas dispondr\xE1n de copias de seguridad y se establecer\xE1\
        n los mecanismos necesarios para garantizar la continuidad de las operaciones\
        \ en caso de p\xE9rdida de los medios habituales."
    - urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xEDculo-27"
      assessable: false
      depth: 2
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:cap\xED\
        tulo-iii"
      ref_id: "Art\xEDculo 27"
      name: Mejora continua del proceso de seguridad
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node147
      assessable: true
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-27"
      description: "El proceso integral de seguridad implantado deber\xE1 ser actualizado\
        \ y mejorado de forma continua. Para ello, se aplicar\xE1n los criterios y\
        \ m\xE9todos reconocidos en la pr\xE1ctica nacional e internacional relativos\
        \ a la gesti\xF3n de la seguridad de las tecnolog\xEDas de la informaci\xF3\
        n"
    - urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xEDculo-28"
      assessable: false
      depth: 2
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:cap\xED\
        tulo-iii"
      ref_id: "Art\xEDculo 28"
      name: "Cumplimiento de los requisitos m\xEDnimos"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:28.1
      assessable: true
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-28"
      ref_id: '28.1'
      description: "Para dar cumplimiento a los requisitos m\xEDnimos establecidos\
        \ en el presente real decreto, las entidades comprendidas en su \xE1mbito\
        \ de aplicaci\xF3n adoptar\xE1n las medidas y refuerzos de seguridad correspondientes\
        \ indicados en el anexo II, teniendo en cuenta:"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:28.1.a
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:28.1
      ref_id: 28.1.a
      description: "Los activos que constituyen los sistemas de informaci\xF3n concernidos."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:28.1.b
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:28.1
      ref_id: 28.1.b
      description: "La categor\xEDa del sistema, seg\xFAn lo previsto en el art\xED\
        culo 40 y en el anexo I."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:28.1.c
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:28.1
      ref_id: 28.1.c
      description: Las decisiones que se adopten para gestionar los riesgos identificados.
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:28.2
      assessable: true
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-28"
      ref_id: '28.2'
      description: "Las medidas a las que se refiere el apartado 1 tendr\xE1n la condici\xF3\
        n de m\xEDnimos exigibles, siendo ampliables a criterio del responsable de\
        \ la seguridad, quien podr\xE1 incluir medidas adicionales, habida cuenta\
        \ del estado de la tecnolog\xEDa, la naturaleza de la informaci\xF3n tratada\
        \ o los servicios prestados y los riesgos a que est\xE1n expuestos los sistemas\
        \ de informaci\xF3n afectados. La relaci\xF3n de medidas de seguridad seleccionadas\
        \ se formalizar\xE1 en un documento denominado Declaraci\xF3n de Aplicabilidad,\
        \ firmado por el responsable de la seguridad."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:28.3
      assessable: true
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-28"
      ref_id: '28.3'
      description: "Las medidas de seguridad referenciadas en el anexo II podr\xE1\
        n ser reemplazadas por otras compensatorias, siempre y cuando se justifique\
        \ documentalmente que protegen, igual o mejor, del riesgo sobre los activos\
        \ (anexo I) y se satisfacen los principios b\xE1sicos y los requisitos m\xED\
        nimos previstos en los cap\xEDtulos II y III. Como parte integral de la Declaraci\xF3\
        n de Aplicabilidad se indicar\xE1, de forma detallada, la correspondencia\
        \ entre las medidas compensatorias implantadas y las medidas del anexo II\
        \ que compensan. El conjunto ser\xE1 objeto de la aprobaci\xF3n formal por\
        \ parte del responsable de la seguridad. Una Gu\xEDa CCN-STIC de las previstas\
        \ en la disposici\xF3n adicional segunda guiar\xE1 en la selecci\xF3n de dichas\
        \ medidas, as\xED como su registro e inclusi\xF3n en la Declaraci\xF3n de\
        \ Aplicabilidad."
    - urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xEDculo-29"
      assessable: false
      depth: 2
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:cap\xED\
        tulo-iii"
      ref_id: "Art\xEDculo 29"
      name: Infraestructuras y servicios comunes
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node156
      assessable: false
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-29"
      description: "La utilizaci\xF3n de infraestructuras y servicios comunes de las\
        \ administraciones p\xFAblicas, incluidos los compartidos o transversales,\
        \ facilitar\xE1 el cumplimiento de lo dispuesto en este real decreto. Los\
        \ supuestos concretos de utilizaci\xF3n de estas infraestructuras y servicios\
        \ ser\xE1n determinados por cada administraci\xF3n p\xFAblica."
    - urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xEDculo-30"
      assessable: false
      depth: 2
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:cap\xED\
        tulo-iii"
      ref_id: "Art\xEDculo 30"
      name: "Perfiles de cumplimiento espec\xEDficos y acreditaci\xF3n de entidades\
        \ de\nimplementaci\xF3n de configuraciones seguras."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:30.1
      assessable: true
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-30"
      ref_id: '30.1'
      description: "En virtud del principio de proporcionalidad y buscando una eficaz\
        \ y eficiente aplicaci\xF3n del ENS a determinadas entidades o sectores de\
        \ actividad concretos, se podr\xE1n implementar perfiles de cumplimiento espec\xED\
        ficos que comprender\xE1n aquel conjunto de medidas de seguridad que, trayendo\
        \ causa del preceptivo an\xE1lisis de riesgos, resulten id\xF3neas para una\
        \ concreta categor\xEDa de seguridad."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:30.2
      assessable: true
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-30"
      ref_id: '30.2'
      description: "De forma an\xE1loga a lo dispuesto en el apartado anterior, para\
        \ posibilitar la adecuada implantaci\xF3n y configuraci\xF3n de soluciones\
        \ o plataformas suministradas por terceros, que vayan a ser usadas por las\
        \ entidades comprendidas en el \xE1mbito de aplicaci\xF3n de este real decreto,\
        \ se podr\xE1n implementar esquemas de acreditaci\xF3n de entidades y validaci\xF3\
        n de personas, que garanticen la seguridad de dichas soluciones o plataformas\
        \ y la conformidad con lo dispuesto en este real decreto."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:30.3
      assessable: true
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-30"
      ref_id: '30.3'
      description: "El CCN, en el ejercicio de sus competencias, validar\xE1 y publicar\xE1\
        \ los correspondientes perfiles de cumplimiento espec\xEDficos que se definan\
        \ y los antedichos esquemas de acreditaci\xF3n y validaci\xF3n, de acuerdo\
        \ con las instrucciones t\xE9cnicas de seguridad y gu\xEDas de seguridad aprobadas\
        \ conforme a lo previsto en la disposici\xF3n adicional segunda."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:30.4
      assessable: true
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-30"
      ref_id: '30.4'
      description: " Las correspondientes instrucciones t\xE9cnicas de seguridad o,\
        \ en su caso, las gu\xEDas de Seguridad CCN-STIC, precisar\xE1n las condiciones\
        \ a las que deber\xE1n sujetarse las implementaciones en modo local de productos,\
        \ sistemas o servicios originariamente prestados en la nube o en forma remota,\
        \ as\xED como las condiciones espec\xEDficas para su evaluaci\xF3n y auditor\xED\
        a."
    - urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:cap\xEDtulo-iv"
      assessable: false
      depth: 1
      ref_id: "CAP\xCDTULO IV"
      name: "Seguridad de los sistemas: auditor\xEDa, informe e incidentes de seguridad"
    - urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xEDculo-31"
      assessable: false
      depth: 2
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:cap\xED\
        tulo-iv"
      ref_id: "Art\xEDculo 31"
      name: "Auditor\xEDa de la seguridad"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:31.1
      assessable: true
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-31"
      ref_id: '31.1'
      description: "Los sistemas de informaci\xF3n comprendidos en el \xE1mbito de\
        \ aplicaci\xF3n de este real decreto ser\xE1n objeto de una auditor\xEDa regular\
        \ ordinaria, al menos cada dos a\xF1os, que verifique el cumplimiento de los\
        \ requerimientos del ENS."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node165
      assessable: true
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-31"
      description: "Con car\xE1cter extraordinario, deber\xE1 realizarse dicha auditor\xED\
        a siempre que se produzcan modificaciones sustanciales en los sistemas de\
        \ informaci\xF3n, que puedan repercutir en las medidas de seguridad requeridas.\
        \ La realizaci\xF3n de la auditoria extraordinaria determinar\xE1 la fecha\
        \ de c\xF3mputo para el c\xE1lculo de los dos a\xF1os, establecidos para la\
        \ realizaci\xF3n de la siguiente auditor\xEDa regular ordinaria, indicados\
        \ en el p\xE1rrafo anterior."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node166
      assessable: true
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-31"
      description: "El plazo de dos a\xF1os se\xF1alado en los p\xE1rrafos anteriores\
        \ podr\xE1 extenderse durante tres meses cuando concurran impedimentos de\
        \ fuerza mayor no imputables a la entidad titular del sistema o sistemas de\
        \ informaci\xF3n concernidos."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:31.2
      assessable: true
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-31"
      ref_id: '31.2'
      description: "La auditor\xEDa se realizar\xE1 en funci\xF3n de la categor\xED\
        a del sistema y, en su caso, del perfil de cumplimiento espec\xEDfico que\
        \ corresponda, seg\xFAn lo dispuesto en los anexos I y III y de conformidad\
        \ con lo regulado en la Instrucci\xF3n T\xE9cnica de Seguridad de Auditor\xED\
        a de la Seguridad de los Sistemas de Informaci\xF3n."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:31.3
      assessable: true
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-31"
      ref_id: '31.3'
      description: "En la realizaci\xF3n de las auditor\xEDas de la seguridad se utilizar\xE1\
        n los criterios, m\xE9todos de trabajo y de conducta generalmente reconocidos,\
        \ as\xED como la normalizaci\xF3n nacional e internacional aplicables a este\
        \ tipo de actividades."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:31.4
      assessable: true
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-31"
      ref_id: '31.4'
      description: "El informe de auditor\xEDa deber\xE1 dictaminar sobre el grado\
        \ de cumplimiento de este real decreto identificando los hallazgos de cumplimiento\
        \ e incumplimiento detectados. Deber\xE1, igualmente, incluir los criterios\
        \ metodol\xF3gicos de auditor\xEDa utilizados, el alcance y el objetivo de\
        \ la auditor\xEDa, y los datos, hechos y observaciones en que se basen las\
        \ conclusiones formuladas, todo ello de conformidad con la citada Instrucci\xF3\
        n T\xE9cnica de Seguridad de Auditor\xEDa de la Seguridad de los Sistemas\
        \ de Informaci\xF3n."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:31.5
      assessable: true
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-31"
      ref_id: '31.5'
      description: "Los informes de auditor\xEDa ser\xE1n presentados al responsable\
        \ del sistema y al responsable de la seguridad. Estos informes ser\xE1n analizados\
        \ por este \xFAltimo que presentar\xE1 sus conclusiones al responsable del\
        \ sistema para que adopte las medidas correctoras adecuadas."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:31.6
      assessable: true
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-31"
      ref_id: '31.6'
      description: "En el caso de los sistemas de categor\xEDa ALTA, visto el dictamen\
        \ de auditor\xEDa y atendiendo a una eventual gravedad de las deficiencias\
        \ encontradas, el responsable del sistema podr\xE1 suspender temporalmente\
        \ el tratamiento de informaciones, la prestaci\xF3n de servicios o la total\
        \ operaci\xF3n del sistema, hasta su adecuada subsanaci\xF3n o mitigaci\xF3\
        n."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:31.7
      assessable: true
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-31"
      ref_id: '31.7'
      description: "Los informes de auditor\xEDa podr\xE1n ser requeridos por los\
        \ responsables de cada organizaci\xF3n, con competencias sobre seguridad de\
        \ las tecnolog\xEDas de la informaci\xF3n, y por el CCN."
    - urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xEDculo-32"
      assessable: false
      depth: 2
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:cap\xED\
        tulo-iv"
      ref_id: "Art\xEDculo 32"
      name: Informe del estado de la seguridad.
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:32.1
      assessable: false
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-32"
      ref_id: '32.1'
      description: "La Comisi\xF3n Sectorial de Administraci\xF3n Electr\xF3nica recoger\xE1\
        \ la informaci\xF3n relacionada con el estado de las principales variables\
        \ de la seguridad en los sistemas de informaci\xF3n a los que se refiere este\
        \ real decreto, de forma que permita elaborar un perfil general del estado\
        \ de la seguridad en las entidades titulares de los sistemas de informaci\xF3\
        n comprendidos en el \xE1mbito de aplicaci\xF3n del art\xEDculo 2, que se\
        \ plasmar\xE1 en el informe correspondiente."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:32.2
      assessable: false
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-32"
      ref_id: '32.2'
      description: "El CCN articular\xE1 los procedimientos necesarios para la recogida\
        \ y consolidaci\xF3n de la informaci\xF3n, as\xED como los aspectos metodol\xF3\
        gicos para su tratamiento y explotaci\xF3n, a trav\xE9s de los correspondientes\
        \ grupos de trabajo que se constituyan al efecto en la Comisi\xF3n Sectorial\
        \ de Administraci\xF3n Electr\xF3nica y en los \xF3rganos colegiados competentes\
        \ en el \xE1mbito de la Administraci\xF3n General del Estado."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:32.3
      assessable: false
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-32"
      ref_id: '32.3'
      description: "Los resultados del informe ser\xE1n utilizados por las autoridades\
        \ competentes que impulsar\xE1n las medidas oportunas que faciliten la mejora\
        \ continua del estado de la seguridad utilizando en su caso, cuadros de mando\
        \ e indicadores que contribuyan a la toma de decisiones mediante el uso de\
        \ las herramientas que el CCN provea para tal efecto."
    - urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xEDculo-33"
      assessable: false
      depth: 2
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:cap\xED\
        tulo-iv"
      ref_id: "Art\xEDculo 33"
      name: Capacidad de respuesta a incidentes de seguridad
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:33.1
      assessable: false
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-33"
      ref_id: '33.1'
      description: " El CCN articular\xE1 la respuesta a los incidentes de seguridad\
        \ en torno a la estructura denominada CCN-CERT (por su acr\xF3nimo en ingl\xE9\
        s de Computer Emergency Response Team), que actuar\xE1 sin perjuicio de las\
        \ capacidades de respuesta a incidentes de seguridad que pueda tener cada\
        \ administraci\xF3n p\xFAblica y de la funci\xF3n de coordinaci\xF3n a nivel\
        \ nacional e internacional del CCN."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:33.2
      assessable: false
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-33"
      ref_id: '33.2'
      description: "Sin perjuicio de lo establecido en el art\xEDculo 19.4 del Real\
        \ Decreto-ley 12/2018, de 7 de septiembre, las entidades del sector p\xFA\
        blico notificar\xE1n al CCN aquellos incidentes que tengan un impacto significativo\
        \ en la seguridad de los sistemas de informaci\xF3n concernidos, de acuerdo\
        \ con la correspondiente Instrucci\xF3n T\xE9cnica de Seguridad."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:33.3
      assessable: false
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-33"
      ref_id: '33.3'
      description: "Cuando un operador esencial que haya sido designado como operador\
        \ cr\xEDtico sufra un incidente, los CSIRT de referencia se coordinar\xE1\
        n con el Ministerio del Interior, a trav\xE9s de su Oficina de Coordinaci\xF3\
        n de Ciberseguridad, seg\xFAn lo previsto en el art\xEDculo 11.2 del Real\
        \ Decreto-ley 12/2018, de 7 de septiembre."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:33.4
      assessable: false
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-33"
      ref_id: '33.4'
      description: "Cuando un operador con incidencia en la Defensa Nacional sufra\
        \ un incidente deber\xE1 analizar si, por su alcance, \xE9ste pudiera tener\
        \ impacto en el funcionamiento del Ministerio de Defensa o en la operatividad\
        \ de las Fuerzas Armadas, lo pondr\xE1 de inmediato en conocimiento de su\
        \ CSIRT de referencia, quien informar\xE1 a la capacidad de respuesta e incidentes\
        \ de seguridad de referencia para el \xE1mbito de la Defensa nacional, denominada\
        \ ESPDEF-CERT, del Mando Conjunto del Ciberespacio (MCCE) a trav\xE9s de los\
        \ canales establecidos. En estos casos, el ESPDEF-CERT del Mando Conjunto\
        \ del Ciberespacio deber\xE1 ser oportunamente informado de la evoluci\xF3\
        n de la gesti\xF3n del incidente y podr\xE1 colaborar en la supervisi\xF3\
        n con la autoridad competente."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:33.5
      assessable: false
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-33"
      ref_id: '33.5'
      description: "De conformidad con lo dispuesto en el Real Decreto-ley 12/2018,\
        \ de 7 de septiembre, el CCN ejercer\xE1 la coordinaci\xF3n nacional de la\
        \ respuesta t\xE9cnica de los equipos de respuesta a incidentes de seguridad\
        \ inform\xE1tica (denominados por su acr\xF3nimo en ingl\xE9s Computer Security\
        \ Incident Response Team, en adelante, CSIRT) en materia de seguridad de las\
        \ redes y sistemas de informaci\xF3n del sector p\xFAblico."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:33.6
      assessable: false
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-33"
      ref_id: '33.6'
      description: "Tras un incidente de seguridad, el CCN-CERT determinar\xE1 t\xE9\
        cnicamente el riesgo de reconexi\xF3n del sistema o sistemas afectados, indicando\
        \ los procedimientos a seguir y las salvaguardas a implementar con objeto\
        \ de reducir el impacto para, en la medida de lo posible, evitar que vuelvan\
        \ a darse las circunstancias que lo propiciaron."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node184
      assessable: true
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-33"
      description: "Tras un incidente de seguridad, la Secretar\xEDa General de Administraci\xF3\
        n Digital, sin perjuicio de la normativa que regula la continuidad de los\
        \ sistemas de informaci\xF3n implicados en la seguridad p\xFAblica o la normativa\
        \ que regule la continuidad de los sistemas de informaci\xF3n militares implicados\
        \ en la Defensa Nacional que requieran la participaci\xF3n del ESPDEF-CERT\
        \ del Mando Conjunto del Ciberespacio, autorizar\xE1 la reconexi\xF3n a los\
        \ medios y servicios comunes comprendidos bajo su \xE1mbito de responsabilidad,\
        \ incluidos los compartidos o transversales, si un informe de superficie de\
        \ exposici\xF3n del CCN-CERT hubiere determinado que el riesgo es asumible."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node185
      assessable: true
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-33"
      description: "En caso de que se trate de un incidente de seguridad que afecte\
        \ a un medio o servicio com\xFAn bajo \xE1mbito de responsabilidad de la Intervenci\xF3\
        n General de la Administraci\xF3n del Estado, esta participar\xE1 en el proceso\
        \ de autorizaci\xF3n de la reconexi\xF3n a que se refiere el p\xE1rrafo anterior."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:33.7
      assessable: false
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-33"
      ref_id: '33.7'
      description: "Las organizaciones del sector privado que presten servicios a\
        \ las entidades p\xFAblicas notificar\xE1n al INCIBE-CERT, centro de respuesta\
        \ a incidentes de seguridad de referencia para los ciudadanos y entidades\
        \ de derecho privado en Espa\xF1a operado por la S.M.E. Instituto Nacional\
        \ de Ciberseguridad de Espa\xF1a M.P., S.A. (INCIBE) dependiente del Ministerio\
        \ de Asuntos Econ\xF3micos y Transformaci\xF3n Digital, los incidentes que\
        \ les afecten a trav\xE9s de su equipo de respuesta a incidentes de seguridad\
        \ inform\xE1tica, quien, sin perjuicio de sus competencias y de lo previsto\
        \ en los art\xEDculos 9, 10 y 11 del Real Decreto 43/2021, de 26 de enero,\
        \ en relaci\xF3n con la Plataforma de Notificaci\xF3n y Seguimiento de Ciberincidentes,\
        \ lo pondr\xE1 inmediatamente en conocimiento del CCN-CERT."
    - urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xEDculo-34"
      assessable: false
      depth: 2
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:cap\xED\
        tulo-iv"
      ref_id: "Art\xEDculo 34"
      name: "Prestaci\xF3n de servicios de respuesta a incidentes de seguridad a las\
        \ entidades del sector p\xFAblico."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:34.1
      assessable: false
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-34"
      ref_id: '34.1'
      description: "De acuerdo con lo previsto en el art\xEDculo 33, el CCN-CERT prestar\xE1\
        \ los siguientes servicios:"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:34.1.a
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:34.1
      ref_id: 34.1.a
      description: "Soporte y coordinaci\xF3n para el tratamiento de vulnerabilidades\
        \ y la resoluci\xF3n de incidentes de seguridad que tengan las entidades del\
        \ \xE1mbito de aplicaci\xF3n de este real decreto."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node190
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:34.1
      description: "El CCN-CERT, a trav\xE9s de su servicio de apoyo t\xE9cnico y\
        \ de coordinaci\xF3n, actuar\xE1 con la m\xE1xima celeridad ante cualquier\
        \ agresi\xF3n recibida en los sistemas de informaci\xF3n afectados"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node191
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:34.1
      description: "Para el cumplimiento de los fines indicados en los p\xE1rrafos\
        \ anteriores se podr\xE1n recabar informes, registros de auditor\xEDa y configuraciones\
        \ de los sistemas afectados y cualquier otra informaci\xF3n que se considere\
        \ relevante, as\xED como los soportes inform\xE1ticos que se estimen necesarios\
        \ para la investigaci\xF3n del incidente de los sistemas afectados, sin perjuicio\
        \ de lo dispuesto en la normativa de protecci\xF3n de datos que resulte de\
        \ aplicaci\xF3n, as\xED como de la posible confidencialidad de datos de car\xE1\
        cter institucional u organizativo."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:34.1.b
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:34.1
      ref_id: 34.1.b
      description: "Investigaci\xF3n y divulgaci\xF3n de las mejores pr\xE1cticas\
        \ sobre seguridad de la informaci\xF3n entre todos los miembros de las entidades\
        \ del sector p\xFAblico. Con esta finalidad, las series de documentos CCN-STIC\
        \ (CCN-Seguridad de las Tecnolog\xEDas de Informaci\xF3n y la Comunicaci\xF3\
        n), elaboradas por el CCN, ofrecer\xE1n normas, instrucciones, gu\xEDas, recomendaciones\
        \ y mejores pr\xE1cticas para aplicar el ENS y para garantizar la seguridad\
        \ de los sistemas de informaci\xF3n del \xE1mbito de aplicaci\xF3n de este\
        \ real decreto."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:34.1.c
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:34.1
      ref_id: 34.1.c
      description: "Formaci\xF3n destinada al personal del sector p\xFAblico especialista\
        \ en el campo de la seguridad de las tecnolog\xEDas de la informaci\xF3n,\
        \ al objeto de facilitar la actualizaci\xF3n de conocimientos y de lograr\
        \ la sensibilizaci\xF3n y mejora de sus capacidades para la prevenci\xF3n,\
        \ detecci\xF3n y gesti\xF3n de incidentes."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:34.1.d
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:34.1
      ref_id: 34.1.d
      description: "Informaci\xF3n sobre vulnerabilidades, alertas y avisos de nuevas\
        \ amenazas a los sistemas de informaci\xF3n, recopiladas de diversas fuentes\
        \ de reconocido prestigio, incluidas las propias."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:34.2
      assessable: false
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-34"
      ref_id: '34.2'
      description: "El CCN desarrollar\xE1 un programa que ofrezca la informaci\xF3\
        n, formaci\xF3n, recomendaciones y herramientas necesarias para que las entidades\
        \ del sector p\xFAblico puedan desarrollar sus propias capacidades de respuesta\
        \ a incidentes de seguridad, y en el que, aquel, ser\xE1 coordinador a nivel\
        \ p\xFAblico estatal."
    - urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:cap\xEDtulo-v"
      assessable: false
      depth: 1
      ref_id: "CAP\xCDTULO V"
      name: Normas de conformida
    - urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xEDculo-35"
      assessable: false
      depth: 2
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:cap\xED\
        tulo-v"
      ref_id: "Art\xEDculo 35"
      name: "Administraci\xF3n digital"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:35.1
      assessable: false
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-35"
      ref_id: '35.1'
      description: "La seguridad de los sistemas de informaci\xF3n que sustentan la\
        \ administraci\xF3n digital se regir\xE1 por lo establecido en este real decreto."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:35.2
      assessable: false
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-35"
      ref_id: '35.2'
      description: "El CCN es el \xF3rgano competente para garantizar la debida interoperabilidad\
        \ en materia de ciberseguridad y criptograf\xEDa, en relaci\xF3n con la aplicaci\xF3\
        n del Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema\
        \ Nacional de Interoperabilidad en el \xE1mbito de la administraci\xF3n electr\xF3\
        nica."
    - urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xEDculo-36"
      assessable: false
      depth: 2
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:cap\xED\
        tulo-v"
      ref_id: "Art\xEDculo 36"
      name: Ciclo de vida de servicios y sistemas
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node201
      assessable: false
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-36"
      description: "Las especificaciones de seguridad se incluir\xE1n en el ciclo\
        \ de vida de los servicios y sistemas, acompa\xF1adas de los correspondientes\
        \ procedimientos de control."
    - urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xEDculo-37"
      assessable: false
      depth: 2
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:cap\xED\
        tulo-v"
      ref_id: "Art\xEDculo 37"
      name: Mecanismos de control.
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node203
      assessable: true
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-37"
      description: "Cada entidad titular de los sistemas de informaci\xF3n comprendidos\
        \ en el \xE1mbito de aplicaci\xF3n de este real decreto y, en su caso, sus\
        \ organismos, \xF3rganos, departamentos o unidades, establecer\xE1n sus mecanismos\
        \ de control para garantizar de forma real y efectiva el cumplimiento del\
        \ ENS."
    - urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xEDculo-38"
      assessable: false
      depth: 2
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:cap\xED\
        tulo-v"
      ref_id: "Art\xEDculo 38"
      name: "Procedimientos de determinaci\xF3n de la conformidad con el Esquema Nacional\
        \ de Seguridad."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:38.1
      assessable: true
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-38"
      ref_id: '38.1'
      description: "Los sistemas de informaci\xF3n comprendidos en el \xE1mbito del\
        \ art\xEDculo 2 ser\xE1n objeto de un proceso para determinar su conformidad\
        \ con el ENS. A tal efecto, los sistemas de categor\xEDa MEDIA o ALTA precisar\xE1\
        n de una auditor\xEDa para la certificaci\xF3n de su conformidad, sin perjuicio\
        \ de la auditor\xEDa de la seguridad prevista en el art\xEDculo 31 que podr\xE1\
        \ servir asimismo para los fines de la certificaci\xF3n, mientras que los\
        \ sistemas de categor\xEDa B\xC1SICA solo requerir\xE1n de una autoevaluaci\xF3\
        n para su declaraci\xF3n de la conformidad, sin perjuicio de que se puedan\
        \ someter igualmente a una auditoria de certificaci\xF3n."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:38.2
      assessable: true
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-38"
      ref_id: '38.2'
      description: "Tanto el procedimiento de autoevaluaci\xF3n como la auditor\xED\
        a de certificaci\xF3n se realizar\xE1n seg\xFAn lo dispuesto en el art\xED\
        culo 31 y el anexo III y en los t\xE9rminos que se determinen en la correspondiente\
        \ Instrucci\xF3n T\xE9cnica de Seguridad, que concretar\xE1 asimismo los requisitos\
        \ exigibles a las entidades certificadoras."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:38.3
      assessable: true
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-38"
      ref_id: '38.3'
      description: "Los sujetos responsables de los sistemas de informaci\xF3n a que\
        \ se refiere el apartado anterior dar\xE1n publicidad, en los correspondientes\
        \ portales de internet o sedes electr\xF3nicas a las declaraciones y certificaciones\
        \ de conformidad con el ENS, atendiendo a lo dispuesto en la mencionada Instrucci\xF3\
        n T\xE9cnica de Seguridad."
    - urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:cap\xEDtulo-vi"
      assessable: false
      depth: 1
      ref_id: "CAP\xCDTULO VI"
      name: "Actualizaci\xF3n del Esquema Nacional de Seguridad"
    - urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xEDculo-39"
      assessable: false
      depth: 2
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:cap\xED\
        tulo-vi"
      ref_id: "Art\xEDculo 39"
      name: "Actualizaci\xF3n permanente"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node210
      assessable: false
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-39"
      description: "El ENS se mantendr\xE1 actualizado de manera permanente, desarroll\xE1\
        ndose y perfeccion\xE1ndose a lo largo del tiempo, en paralelo al avance de\
        \ los servicios prestados por las entidades del sector p\xFAblico, la evoluci\xF3\
        n tecnol\xF3gica, la aparici\xF3n o consolidaci\xF3n de nuevos est\xE1ndares\
        \ internacionales sobre seguridad y auditor\xEDa y los riesgos a los que est\xE9\
        n expuestos los sistemas de informaci\xF3n concernidos."
    - urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:cap\xEDtulo-vii"
      assessable: false
      depth: 1
      ref_id: "CAP\xCDTULO VII"
      name: "Categorizaci\xF3n de los sistemas de informaci\xF3n"
    - urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xEDculo-40"
      assessable: false
      depth: 2
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:cap\xED\
        tulo-vii"
      ref_id: "Art\xEDculo 40"
      name: "Categor\xEDas de seguridad."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:40.1
      assessable: false
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-40"
      ref_id: '40.1'
      description: "La categor\xEDa de seguridad de un sistema de informaci\xF3n modular\xE1\
        \ el equilibrio entre la importancia de la informaci\xF3n que maneja y los\
        \ servicios que presta y el esfuerzo de seguridad requerido, en funci\xF3\
        n de los riesgos a los que est\xE1 expuesto, bajo el principio de proporcionalidad."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:40.2
      assessable: false
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-40"
      ref_id: '40.2'
      description: "La determinaci\xF3n de la categor\xEDa de seguridad se efectuar\xE1\
        \ en funci\xF3n de la valoraci\xF3n del impacto que tendr\xEDa un incidente\
        \ que afectase a la seguridad de la informaci\xF3n o de los servicios con\
        \ perjuicio para la disponibilidad, autenticidad, integridad, confidencialidad\
        \ o trazabilidad, siguiendo el procedimiento descrito en el anexo I."
    - urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xEDculo-41"
      assessable: false
      depth: 2
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:cap\xED\
        tulo-vii"
      ref_id: "Art\xEDculo 41"
      name: Facultades
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:41.1
      assessable: false
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-41"
      ref_id: '41.1'
      description: "La facultad para efectuar las valoraciones a las que se refiere\
        \ el art\xEDculo 40, as\xED como, en su caso, su posterior modificaci\xF3\
        n, corresponder\xE1 al responsable o responsables de la informaci\xF3n o servicios\
        \ afectados."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:41.2
      assessable: false
      depth: 3
      parent_urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:art\xED\
        culo-41"
      ref_id: '41.2'
      description: "Con base en las valoraciones se\xF1aladas en el apartado anterior,\
        \ la determinaci\xF3n de la categor\xEDa de seguridad del sistema corresponder\xE1\
        \ al responsable o responsables de la seguridad."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-i
      assessable: false
      depth: 1
      ref_id: ANEXO I
      name: "Categor\xEDas de seguridad de los sistemas de informaci\xF3n"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-i-1
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-i
      ref_id: ANEXO I-1
      name: "Fundamentos para la determinaci\xF3n de la categor\xEDa de seguridad\
        \ de un sistema de informaci\xF3n"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node220
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-i-1
      description: "La determinaci\xF3n de la categor\xEDa de seguridad de un sistema\
        \ de informaci\xF3n se basar\xE1 en la valoraci\xF3n del impacto que tendr\xED\
        a sobre la organizaci\xF3n un incidente que afectase a la seguridad de la\
        \ informaci\xF3n tratada o de los servicios prestados para:"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-i-1.a
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node220
      ref_id: ANEXO I-1.a
      description: Alcanzar sus objetivos.
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-i-1.b
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node220
      ref_id: ANEXO I-1.b
      description: Proteger los activos a su cargo.
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node223
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node220
      description: "Garantizar la conformidad con el ordenamiento jur\xEDdico."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node224
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-i-1
      description: "Anualmente, o siempre que se produzcan modificaciones significativas\
        \ en los citados criterios de determinaci\xF3n, deber\xE1 re-evaluarse la\
        \ categor\xEDa de seguridad de los sistemas de informaci\xF3n concernidos."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-i-2
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-i
      ref_id: ANEXO I-2
      name: Dimensiones de la seguridad
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node226
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-i-2
      description: "A fin de determinar el impacto que tendr\xEDa sobre la organizaci\xF3\
        n un incidente que afectara a la seguridad de la informaci\xF3n tratada o\
        \ de los servicios prestados y, en su consecuencia, establecer la categor\xED\
        a de seguridad del sistema de informaci\xF3n en cuesti\xF3n, se tendr\xE1\
        n en cuenta las siguientes dimensiones de la seguridad, que se identificar\xE1\
        n por sus correspondientes iniciales en may\xFAsculas:"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-i-2.a
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node226
      ref_id: ANEXO I-2.a
      description: "\_Confidencialidad [C]."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-i-2.b
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node226
      ref_id: ANEXO I-2.b
      description: Integridad [I].
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-i-2.c
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node226
      ref_id: ANEXO I-2.c
      description: Trazabilidad [T].
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-i-2.d
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node226
      ref_id: ANEXO I-2.d
      description: Autenticidad [A].
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-i-2.e
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node226
      ref_id: ANEXO I-2.e
      description: Disponibilidad [D].
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-i-3
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-i
      ref_id: ANEXO I-3
      name: "Determinaci\xF3n del nivel de seguridad requerido en una dimensi\xF3\
        n de seguridad"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node233
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-i-3
      description: "Una informaci\xF3n o un servicio pueden verse afectados en una\
        \ o m\xE1s de sus dimensiones de seguridad. Cada dimensi\xF3n de seguridad\
        \ afectada se adscribir\xE1 a uno de los siguientes niveles de seguridad:\
        \ BAJO, MEDIO o ALTO. Si una dimensi\xF3n de seguridad no se ve afectada,\
        \ no se adscribir\xE1 a ning\xFAn nivel."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-i-3.a
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node233
      ref_id: ANEXO I-3.a
      description: "Nivel BAJO. Se aplicar\xE1 cuando las consecuencias de un incidente\
        \ de seguridad que afecte a alguna de las dimensiones de seguridad supongan\
        \ un perjuicio limitado sobre las funciones de la organizaci\xF3n, sobre sus\
        \ activos o sobre los individuos afectados."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node235
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node233
      description: "Se entender\xE1 por perjuicio limitado:"
    - urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-i-3.a.1\xB0"
      assessable: false
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node235
      ref_id: "ANEXO I-3.a.1\xB0"
      description: "La reducci\xF3n de forma apreciable de la capacidad de la organizaci\xF3\
        n para desarrollar eficazmente sus funciones y competencias, aunque estas\
        \ sigan desempe\xF1\xE1ndose."
    - urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-i-3.a.2\xB0"
      assessable: false
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node235
      ref_id: "ANEXO I-3.a.2\xB0"
      description: "Causar un da\xF1o menor en los activos de la organizaci\xF3n."
    - urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-i-3.a.3\xB0"
      assessable: false
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node235
      ref_id: "ANEXO I-3.a.3\xB0"
      description: "El incumplimiento formal de alguna ley o regulaci\xF3n, que tenga\
        \ car\xE1cter de subsanable."
    - urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-i-3.a.4\xB0"
      assessable: false
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node235
      ref_id: "ANEXO I-3.a.4\xB0"
      description: "Causar un perjuicio menor a alg\xFAn individuo, que pese a resultar\
        \ molesto, pueda ser f\xE1cilmente reparable."
    - urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-i-3.a.5\xB0"
      assessable: false
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node235
      ref_id: "ANEXO I-3.a.5\xB0"
      description: "Otros de naturaleza an\xE1loga."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-i-3.b
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node233
      ref_id: ANEXO I-3.b
      description: "Nivel MEDIO. Se aplicar\xE1 cuando las consecuencias de un incidente\
        \ de seguridad que afecte a alguna de las dimensiones de seguridad supongan\
        \ un perjuicio grave sobre las funciones de la organizaci\xF3n, sobre sus\
        \ activos o sobre los individuos afectados."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node242
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node233
      description: "Se entender\xE1 por perjuicio grave:"
    - urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-i-3.b.1\xB0"
      assessable: false
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node242
      ref_id: "ANEXO I-3.b.1\xB0"
      description: "La reducci\xF3n significativa de la capacidad de la organizaci\xF3\
        n para desarrollar eficazmente sus funciones y competencias, aunque estas\
        \ sigan desempe\xF1\xE1ndose."
    - urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-i-3.b.2\xB0"
      assessable: false
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node242
      ref_id: "ANEXO I-3.b.2\xB0"
      description: "Causar un da\xF1o significativo en los activos de la organizaci\xF3\
        n."
    - urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-i-3.b.3\xB0"
      assessable: false
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node242
      ref_id: "ANEXO I-3.b.3\xB0"
      description: "El incumplimiento material de alguna ley o regulaci\xF3n, o el\
        \ incumplimiento formal que no tenga car\xE1cter de subsanable."
    - urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-i-3.b.4\xB0"
      assessable: false
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node242
      ref_id: "ANEXO I-3.b.4\xB0"
      description: "Causar un perjuicio significativo a alg\xFAn individuo, de dif\xED\
        cil reparaci\xF3n."
    - urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-i-3.b.5\xB0"
      assessable: false
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node242
      ref_id: "ANEXO I-3.b.5\xB0"
      description: "Otros de naturaleza an\xE1loga."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-i-3.c
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node233
      ref_id: ANEXO I-3.c
      description: "Nivel ALTO. Se aplicar\xE1 cuando las consecuencias de un incidente\
        \ de seguridad que afecte a alguna de las dimensiones de seguridad supongan\
        \ un perjuicio muy grave sobre las funciones de la organizaci\xF3n, sobre\
        \ sus activos o sobre los individuos afectados."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node249
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node233
      description: "Se entender\xE1 por perjuicio muy grave:"
    - urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-i-3.c.1\xB0"
      assessable: false
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node249
      ref_id: "ANEXO I-3.c.1\xB0"
      description: "La anulaci\xF3n efectiva de la capacidad de la organizaci\xF3\
        n para desarrollar eficazmente sus funciones y competencias."
    - urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-i-3.c.2\xB0"
      assessable: false
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node249
      ref_id: "ANEXO I-3.c.2\xB0"
      description: "Causar un da\xF1o muy grave, e incluso irreparable, de los activos\
        \ de la organizaci\xF3n."
    - urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-i-3.c.3\xB0"
      assessable: false
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node249
      ref_id: "ANEXO I-3.c.3\xB0"
      description: "El incumplimiento grave de alguna ley o regulaci\xF3n."
    - urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-i-3.c.4\xB0"
      assessable: false
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node249
      ref_id: "ANEXO I-3.c.4\xB0"
      description: "Causar un perjuicio grave a alg\xFAn individuo, de dif\xEDcil\
        \ o imposible reparaci\xF3n."
    - urn: "urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-i-3.c.5\xB0"
      assessable: false
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node249
      ref_id: "ANEXO I-3.c.5\xB0"
      description: "Otros de naturaleza an\xE1loga."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node255
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node233
      description: "Cuando un sistema de informaci\xF3n trate diferentes informaciones\
        \ y preste diferentes servicios, el nivel de seguridad del sistema en cada\
        \ dimensi\xF3n ser\xE1 el mayor de los establecidos para cada informaci\xF3\
        n y cada servicio"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-i-4
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-i
      ref_id: ANEXO I-4
      name: "Determinaci\xF3n de la categor\xEDa de seguridad de un sistema de informaci\xF3\
        n"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-i-4.1
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-i-4
      ref_id: ANEXO I-4.1
      description: "Se definen tres categor\xEDas de seguridad: B\xC1SICA, MEDIA y\
        \ ALTA."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-i-4.1.a
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-i-4.1
      ref_id: ANEXO I-4.1.a
      description: "Un sistema de informaci\xF3n ser\xE1 de categor\xEDa ALTA si alguna\
        \ de sus dimensiones de seguridad alcanza el nivel de seguridad ALTO."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-i-4.1.b
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-i-4.1
      ref_id: ANEXO I-4.1.b
      description: "Un sistema de informaci\xF3n ser\xE1 de categor\xEDa MEDIA si\
        \ alguna de sus dimensiones de seguridad alcanza el nivel de seguridad MEDIO,\
        \ y ninguna alcanza un nivel de seguridad superior."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-i-4.1.c
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-i-4.1
      ref_id: ANEXO I-4.1.c
      description: "Un sistema de informaci\xF3n ser\xE1 de categor\xEDa B\xC1SICA\
        \ si alguna de sus dimensiones de seguridad alcanza el nivel BAJO, y ninguna\
        \ alcanza un nivel superior."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-i-4.2
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-i-4
      ref_id: ANEXO I-4.2
      description: "La determinaci\xF3n de la categor\xEDa de seguridad de un sistema\
        \ de informaci\xF3n sobre la base de lo indicado en el apartado anterior,\
        \ no implicar\xE1 que se altere, por este hecho, el nivel de seguridad de\
        \ las dimensiones de seguridad que no han influido en la determinaci\xF3n\
        \ de la categor\xEDa de seguridad del mismo."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-i-5
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-i
      ref_id: ANEXO I-5
      name: "Secuencia de actuaciones para determinar la categor\xEDa de seguridad\
        \ de un sistema"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-i-5.1
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-i-5
      ref_id: ANEXO I-5.1
      description: "Identificaci\xF3n del nivel de seguridad correspondiente a cada\
        \ informaci\xF3n y servicio, en funci\xF3n de las dimensiones de seguridad,\
        \ teniendo en cuenta lo establecido en el apartado 3 anterior."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-i-5.2
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-i-5
      ref_id: ANEXO I-5.2
      description: "Determinaci\xF3n de la categor\xEDa de seguridad del sistema,\
        \ seg\xFAn lo establecido en el apartado 4 anterior."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node265
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-i-5
      description: "Las gu\xEDas CCN-STIC, del CCN, precisar\xE1n los criterios necesarios\
        \ para una adecuada categorizaci\xF3n de seguridad de los sistemas de informaci\xF3\
        n."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-ii
      assessable: false
      depth: 1
      ref_id: ANEXO II
      name: Medidas de Seguridad
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-ii-1
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-ii
      ref_id: ANEXO II-1
      name: Disposiciones generales
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-ii-1.1
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-ii-1
      ref_id: ANEXO II-1.1
      description: "Para lograr el cumplimiento de los principios b\xE1sicos y requisitos\
        \ m\xEDnimos establecidos se aplicar\xE1n las medidas de seguridad indicadas\
        \ en este anexo, las cuales ser\xE1n proporcionales a:"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-ii-1.1.a
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-ii-1.1
      ref_id: ANEXO II-1.1.a
      description: Las dimensiones de seguridad relevantes en el sistema a proteger.
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-ii-1.1.b
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-ii-1.1
      ref_id: ANEXO II-1.1.b
      description: "La categor\xEDa de seguridad del sistema de informaci\xF3n a proteger."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-ii-1.2
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-ii-1
      ref_id: ANEXO II-1.2
      description: 'Las medidas de seguridad se dividen en tres grupos:'
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-ii-1.2.a
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-ii-1.2
      ref_id: ANEXO II-1.2.a
      description: "Marco organizativo [org]. Constituido por el conjunto de medidas\
        \ relacionadas con la organizaci\xF3n global de la seguridad."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-ii-1.2.b
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-ii-1.2
      ref_id: ANEXO II-1.2.b
      description: "Marco operacional [op]. Formado por las medidas a tomar para proteger\
        \ la operaci\xF3n del sistema como conjunto integral de componentes para un\
        \ fin."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-ii-1.2.c
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-ii-1.2
      ref_id: ANEXO II-1.2.c
      description: "Medidas de protecci\xF3n [mp]. Se centran en proteger activos\
        \ concretos, seg\xFAn su naturaleza y la calidad exigida por el nivel de seguridad\
        \ de las dimensiones afectadas."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-ii-2
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-ii
      ref_id: ANEXO II-2
      name: "Selecci\xF3n de medidas de seguridad"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-ii-2.1
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-ii-2
      ref_id: ANEXO II-2.1
      description: "Para la selecci\xF3n de las medidas de seguridad se seguir\xE1\
        n los pasos siguientes:"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-ii-2.1.a
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-ii-2.1
      ref_id: ANEXO II-2.1.a
      description: "Identificaci\xF3n de los tipos de activos presentes."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-ii-2.1.b
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-ii-2.1
      ref_id: ANEXO II-2.1.b
      description: "Determinaci\xF3n de las dimensiones de seguridad relevantes, teniendo\
        \ en cuenta lo establecido en el anexo I."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-ii-2.1.c
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-ii-2.1
      ref_id: ANEXO II-2.1.c
      description: "Determinaci\xF3n del nivel de seguridad correspondiente a cada\
        \ dimensi\xF3n de seguridad, teniendo en cuenta lo establecido en el anexo\
        \ I."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-ii-2.1.d
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-ii-2.1
      ref_id: ANEXO II-2.1.d
      description: "Determinaci\xF3n de la categor\xEDa de seguridad del sistema,\
        \ seg\xFAn lo establecido en el anexo I."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-ii-2.1.e
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-ii-2.1
      ref_id: ANEXO II-2.1.e
      description: "Selecci\xF3n de las medidas de seguridad, junto con los refuerzos\
        \ apropiados, de entre las contenidas en este anexo, de acuerdo con las dimensiones\
        \ y sus niveles de seguridad y para determinadas medidas de seguridad, de\
        \ acuerdo con la categor\xEDa de seguridad del sistema"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-ii-2.2
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-ii-2
      ref_id: ANEXO II-2.2
      description: "A los efectos de facilitar el cumplimiento de lo dispuesto en\
        \ este anexo, cuando en un sistema de informaci\xF3n existan subsistemas que\
        \ requieran la aplicaci\xF3n de un nivel de medidas de seguridad diferente\
        \ al del sistema principal, podr\xE1n segregarse de este \xFAltimo, siendo\
        \ de aplicaci\xF3n en cada caso el nivel de medidas de seguridad con los refuerzos\
        \ correspondientes, y siempre que puedan delimitarse la informaci\xF3n y los\
        \ servicios afectados."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-ii-2.3
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-ii-2
      ref_id: ANEXO II-2.3
      description: "Las gu\xEDas CCN-STIC, del CCN, podr\xE1n establecer perfiles\
        \ de cumplimiento espec\xEDficos, seg\xFAn el art\xEDculo 30 de este real\
        \ decreto, para entidades o sectores concretos, que incluir\xE1n la relaci\xF3\
        n de medidas y refuerzos que en cada caso resulten aplicables o los criterios\
        \ para su determinaci\xF3n."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-ii-2.4
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-ii-2
      ref_id: ANEXO II-2.4
      description: "La correspondencia entre los niveles de seguridad exigidos en\
        \ cada dimensi\xF3n y las medidas de seguridad con sus refuerzos, es la que\
        \ se indica en la tabla siguiente:"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-ii-2.5
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-ii-2
      ref_id: ANEXO II-2.5
      description: 'En las tablas del presente anexo se han empleado las siguientes
        convenciones:'
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-ii-2.5.a
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-ii-2.5
      ref_id: ANEXO II-2.5.a
      description: "La tercera columna indica si la medida se exige atendiendo al\
        \ nivel de seguridad de una o m\xE1s dimensiones de seguridad, o atendiendo\
        \ a la categor\xEDa de seguridad del sistema. Cuando se exija por nivel de\
        \ seguridad de las dimensiones, se indican cuales afectan utilizando sus iniciales."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-ii-2.5.b
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-ii-2.5
      ref_id: ANEXO II-2.5.b
      description: "Para indicar que una determinada medida de seguridad se debe aplicar\
        \ a una o varias dimensiones de seguridad, en alg\xFAn nivel de seguridad\
        \ determinado, se utiliza la voz \xABaplica\xBB."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-ii-2.5.c
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-ii-2.5
      ref_id: ANEXO II-2.5.c
      description: "\xABn.a.\xBB significa \xABno aplica\xBB a efectos de cumplimiento\
        \ normativo, por lo que no es exigible, sin perjuicio de que su implantaci\xF3\
        n en el sistema pudiera ser beneficioso t\xE9cnicamente."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-ii-2.5.d
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-ii-2.5
      ref_id: ANEXO II-2.5.d
      description: "Para indicar una mayor exigencia se emplean los refuerzos de seguridad\
        \ (R) que se suman (+) a los requisitos base de la medida pero que no siempre\
        \ son incrementales entre s\xED."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-ii-2.5.e
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-ii-2.5
      ref_id: ANEXO II-2.5.e
      description: "Para se\xF1alar que se puede elegir entre aplicar un refuerzo\
        \ u otro, se indicar\xE1 entre corchetes y separados por \xABo\xBB [Rn o Rn+1]."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-ii-2.5.f
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-ii-2.5
      ref_id: ANEXO II-2.5.f
      description: "Se han empleado los colores verde, amarillo y rojo con el siguiente\
        \ c\xF3digo: verde para indicar que una medida se aplica en sistemas de categor\xED\
        a B\xC1SICA o superior; el amarillo para indicar qu\xE9 medidas y refuerzos\
        \ empiezan a aplicar en categor\xEDa MEDIA o superior; y el rojo para indicar\
        \ qu\xE9 medidas o refuerzos son solo de aplicaci\xF3n en categor\xEDa ALTA\
        \ o requieren un esfuerzo en seguridad superior al de categor\xEDa MEDIA."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-ii-2.6
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-ii-2
      ref_id: ANEXO II-2.6
      description: "A continuaci\xF3n, se describen individualmente cada una de las\
        \ medidas organizadas de la siguiente forma:"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-ii-2.6.a
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-ii-2.6
      ref_id: ANEXO II-2.6.a
      description: "Primero, una tabla resumen con las exigencias de seguridad de\
        \ la medida en funci\xF3n de la categor\xEDa de seguridad del sistema y de\
        \ las dimensiones de seguridad afectadas."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-ii-2.6.b
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-ii-2.6
      ref_id: ANEXO II-2.6.b
      description: "A continuaci\xF3n, una descripci\xF3n con el cuerpo de la medida\
        \ que desglosa los requisitos de base."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-ii-2.6.c
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-ii-2.6
      ref_id: ANEXO II-2.6.c
      description: "Posteriormente, podr\xE1n aparecer una serie de refuerzos adicionales\
        \ que complementan a los requisitos de base, no en todos los casos requeridos\
        \ o exigidos, y que podr\xEDan aplicarse en determinados perfiles de cumplimiento\
        \ espec\xEDficos."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-ii-2.6.d
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-ii-2.6
      ref_id: ANEXO II-2.6.d
      description: "Adem\xE1s, se indica el conjunto de requisitos y refuerzos exigidos\
        \ en funci\xF3n de los niveles de seguridad o de la categor\xEDa de seguridad\
        \ del sistema, seg\xFAn corresponda. En los casos en los que se pueda elegir\
        \ entre aplicar un refuerzo u otro, adem\xE1s de indicarlo entre corchetes\
        \ [Rm o Rn], se incluir\xE1 un diagrama de flujo explicativo."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-ii-2.6.e
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-ii-2.6
      ref_id: ANEXO II-2.6.e
      description: "Por \xFAltimo, algunos refuerzos son de car\xE1cter opcional,\
        \ no siendo requeridos en todos los sistemas de informaci\xF3n. Se aplicar\xE1\
        n como medidas adicionales cuando el an\xE1lisis de riesgos as\xED lo recomiende."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-ii-3
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-ii
      ref_id: ANEXO II-3
      name: 'Marco organizativo [ORG]

        '
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:org.1
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-ii-3
      ref_id: org.1
      name: " Pol\xEDtica de seguridad"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node300
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:org.1
      description: "La pol\xEDtica de seguridad, que se aprobar\xE1 de conformidad\
        \ con lo dispuesto en el art\xEDculo 12 de este real decreto, se plasmar\xE1\
        \ en un documento en el que, de forma clara, se precise, al menos, lo siguiente:"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:org.1.1
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node300
      ref_id: org.1.1
      description: "Los objetivos o misi\xF3n de la organizaci\xF3n."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: org.1.\n\
        \u2013 Categor\xEDa MEDIA: org.1.\n\u2013 Categor\xEDa ALTA: org.1\nP\xE1\
        gina 33"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:org.1.2
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node300
      ref_id: org.1.2
      description: "El marco legal y regulatorio en el que se desarrollar\xE1n las\
        \ actividades."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: org.1.\n\
        \u2013 Categor\xEDa MEDIA: org.1.\n\u2013 Categor\xEDa ALTA: org.1\nP\xE1\
        gina 33"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:org.1.3
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node300
      ref_id: org.1.3
      description: "Los roles o funciones de seguridad, definiendo para cada uno los\
        \ deberes y responsabilidades del cargo, as\xED como el procedimiento para\
        \ su designaci\xF3n y renovaci\xF3n."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: org.1.\n\
        \u2013 Categor\xEDa MEDIA: org.1.\n\u2013 Categor\xEDa ALTA: org.1\nP\xE1\
        gina 33"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:org.1.4
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node300
      ref_id: org.1.4
      description: "La estructura del comit\xE9 o los comit\xE9s para la gesti\xF3\
        n y coordinaci\xF3n de la seguridad, detallando su \xE1mbito de responsabilidad,\
        \ las personas integrantes y la relaci\xF3n con otros elementos de la organizaci\xF3\
        n."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: org.1.\n\
        \u2013 Categor\xEDa MEDIA: org.1.\n\u2013 Categor\xEDa ALTA: org.1\nP\xE1\
        gina 33"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:org.1.5
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node300
      ref_id: org.1.5
      description: " Las directrices para la estructuraci\xF3n de la documentaci\xF3\
        n de seguridad del sistema, su gesti\xF3n y acceso."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: org.1.\n\
        \u2013 Categor\xEDa MEDIA: org.1.\n\u2013 Categor\xEDa ALTA: org.1\nP\xE1\
        gina 33"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:org.2
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-ii-3
      ref_id: org.2
      name: 'Normativa de seguridad '
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node307
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:org.2
      description: "Se dispondr\xE1 de una serie de documentos que describan:"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ' ALTA'
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:org.2.1
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node307
      ref_id: org.2.1
      description: "El uso correcto de equipos, servicios e instalaciones, as\xED\
        \ como lo que se considerar\xE1 uso indebido."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: org.2.\n\
        \u2013 Categor\xEDa MEDIA: org.2.\n\u2013 Categor\xEDa ALTA: org.2.\nRefuerzo\
        \ R1-Documentos espec\xEDficos.\n[org.2.r1.1] Se dispondr\xE1 de una documentaci\xF3\
        n de seguridad, desarrollada seg\xFAn lo reflejado en las gu\xEDas CCN-STIC\
        \ que resulten de aplicaci\xF3n.\nP\xE1gina 33"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ' ALTA'
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:org.2.2
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node307
      ref_id: org.2.2
      description: "La responsabilidad del personal con respecto al cumplimiento o\
        \ violaci\xF3n de la normativa: derechos, deberes y medidas disciplinarias\
        \ de acuerdo con la legislaci\xF3n vigente."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: org.2.\n\
        \u2013 Categor\xEDa MEDIA: org.2.\n\u2013 Categor\xEDa ALTA: org.2.\nRefuerzo\
        \ R1-Documentos espec\xEDficos.\n[org.2.r1.1] Se dispondr\xE1 de una documentaci\xF3\
        n de seguridad, desarrollada seg\xFAn lo reflejado en las gu\xEDas CCN-STIC\
        \ que resulten de aplicaci\xF3n.\nP\xE1gina 33"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ' ALTA'
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:org.3
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-ii-3
      ref_id: org.3
      name: Procedimientos de seguridad
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node311
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:org.3
      description: "Se dispondr\xE1 de una serie de documentos que detallen de forma\
        \ clara y precisa c\xF3mo operar los elementos del sistema de informaci\xF3\
        n:"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ' ALTA'
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:org.3.1
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node311
      ref_id: org.3.1
      description: "C\xF3mo llevar a cabo las tareas habituales."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: org.3.\n\
        \u2013 Categor\xEDa MEDIA: org.3.\n\u2013 Categor\xEDa ALTA: org.3.\nRefuerzo\
        \ R1-Validaci\xF3n de procedimientos.\n[org.3.r1.1] Se requerir\xE1 la validaci\xF3\
        n de los procedimientos de seguridad por la autoridad correspondiente.\nP\xE1\
        gina 34"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ' ALTA'
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:org.3.2
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node311
      ref_id: org.3.2
      description: "Qui\xE9n debe hacer cada tarea."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: org.3.\n\
        \u2013 Categor\xEDa MEDIA: org.3.\n\u2013 Categor\xEDa ALTA: org.3.\nRefuerzo\
        \ R1-Validaci\xF3n de procedimientos.\n[org.3.r1.1] Se requerir\xE1 la validaci\xF3\
        n de los procedimientos de seguridad por la autoridad correspondiente.\nP\xE1\
        gina 34"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ' ALTA'
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:org.3.3
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node311
      ref_id: org.3.3
      description: "C\xF3mo identificar y reportar comportamientos an\xF3malos."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: org.3.\n\
        \u2013 Categor\xEDa MEDIA: org.3.\n\u2013 Categor\xEDa ALTA: org.3.\nRefuerzo\
        \ R1-Validaci\xF3n de procedimientos.\n[org.3.r1.1] Se requerir\xE1 la validaci\xF3\
        n de los procedimientos de seguridad por la autoridad correspondiente.\nP\xE1\
        gina 34"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ' ALTA'
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:org.3.4
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node311
      ref_id: org.3.4
      description: "La forma en que se ha de tratar la informaci\xF3n en consideraci\xF3\
        n al nivel de seguridad que requiere, precisando c\xF3mo efectuar:"
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: org.3.\n\
        \u2013 Categor\xEDa MEDIA: org.3.\n\u2013 Categor\xEDa ALTA: org.3.\nRefuerzo\
        \ R1-Validaci\xF3n de procedimientos.\n[org.3.r1.1] Se requerir\xE1 la validaci\xF3\
        n de los procedimientos de seguridad por la autoridad correspondiente.\nP\xE1\
        gina 34"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ' ALTA'
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:org.3.4.a
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:org.3.4
      ref_id: org.3.4.a
      description: Su control de acceso.
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: org.3.\n\
        \u2013 Categor\xEDa MEDIA: org.3.\n\u2013 Categor\xEDa ALTA: org.3.\nRefuerzo\
        \ R1-Validaci\xF3n de procedimientos.\n[org.3.r1.1] Se requerir\xE1 la validaci\xF3\
        n de los procedimientos de seguridad por la autoridad correspondiente.\nP\xE1\
        gina 34"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ' ALTA'
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:org.3.4.b
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:org.3.4
      ref_id: org.3.4.b
      description: Su almacenamiento.
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: org.3.\n\
        \u2013 Categor\xEDa MEDIA: org.3.\n\u2013 Categor\xEDa ALTA: org.3.\nRefuerzo\
        \ R1-Validaci\xF3n de procedimientos.\n[org.3.r1.1] Se requerir\xE1 la validaci\xF3\
        n de los procedimientos de seguridad por la autoridad correspondiente.\nP\xE1\
        gina 34"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ' ALTA'
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:org.3.4.c
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:org.3.4
      ref_id: org.3.4.c
      description: "La realizaci\xF3n de copias."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: org.3.\n\
        \u2013 Categor\xEDa MEDIA: org.3.\n\u2013 Categor\xEDa ALTA: org.3.\nRefuerzo\
        \ R1-Validaci\xF3n de procedimientos.\n[org.3.r1.1] Se requerir\xE1 la validaci\xF3\
        n de los procedimientos de seguridad por la autoridad correspondiente.\nP\xE1\
        gina 34"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ' ALTA'
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:org.3.4.d
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:org.3.4
      ref_id: org.3.4.d
      description: El etiquetado de soportes.
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: org.3.\n\
        \u2013 Categor\xEDa MEDIA: org.3.\n\u2013 Categor\xEDa ALTA: org.3.\nRefuerzo\
        \ R1-Validaci\xF3n de procedimientos.\n[org.3.r1.1] Se requerir\xE1 la validaci\xF3\
        n de los procedimientos de seguridad por la autoridad correspondiente.\nP\xE1\
        gina 34"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ' ALTA'
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:org.3.4.e
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:org.3.4
      ref_id: org.3.4.e
      description: "Su transmisi\xF3n telem\xE1tica."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: org.3.\n\
        \u2013 Categor\xEDa MEDIA: org.3.\n\u2013 Categor\xEDa ALTA: org.3.\nRefuerzo\
        \ R1-Validaci\xF3n de procedimientos.\n[org.3.r1.1] Se requerir\xE1 la validaci\xF3\
        n de los procedimientos de seguridad por la autoridad correspondiente.\nP\xE1\
        gina 34"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ' ALTA'
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:org.3.4.f
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:org.3.4
      ref_id: org.3.4.f
      description: "Cualquier otra actividad relacionada con dicha informaci\xF3n."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: org.3.\n\
        \u2013 Categor\xEDa MEDIA: org.3.\n\u2013 Categor\xEDa ALTA: org.3.\nRefuerzo\
        \ R1-Validaci\xF3n de procedimientos.\n[org.3.r1.1] Se requerir\xE1 la validaci\xF3\
        n de los procedimientos de seguridad por la autoridad correspondiente.\nP\xE1\
        gina 34"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ' ALTA'
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:org.4
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-ii-3
      ref_id: org.4
      name: "Proceso de autorizaci\xF3n"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node323
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:org.4
      description: "Se establecer\xE1 un proceso formal de autorizaciones que cubra\
        \ todos los elementos del sistema de informaci\xF3n concernidos:"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:org.4.1
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node323
      ref_id: org.4.1
      description: "Utilizaci\xF3n de instalaciones, habituales y alternativas."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: org.4.\n\
        \u2013 Categor\xEDa MEDIA: org.4.\n\u2013 Categor\xEDa ALTA: org.4.\nP\xE1\
        gina 34"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:org.4.2
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node323
      ref_id: org.4.2
      description: " Entrada de equipos en producci\xF3n, en particular, equipos que\
        \ involucren criptograf\xEDa."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: org.4.\n\
        \u2013 Categor\xEDa MEDIA: org.4.\n\u2013 Categor\xEDa ALTA: org.4.\nP\xE1\
        gina 34"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:org.4.3
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node323
      ref_id: org.4.3
      description: "Entrada de aplicaciones en producci\xF3n."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: org.4.\n\
        \u2013 Categor\xEDa MEDIA: org.4.\n\u2013 Categor\xEDa ALTA: org.4.\nP\xE1\
        gina 34"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:org.4.4
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node323
      ref_id: org.4.4
      description: Establecimiento de enlaces de comunicaciones con otros sistemas.
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: org.4.\n\
        \u2013 Categor\xEDa MEDIA: org.4.\n\u2013 Categor\xEDa ALTA: org.4.\nP\xE1\
        gina 34"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:org.4.5
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node323
      ref_id: org.4.5
      description: "Utilizaci\xF3n de medios de comunicaci\xF3n, habituales y alternativos."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: org.4.\n\
        \u2013 Categor\xEDa MEDIA: org.4.\n\u2013 Categor\xEDa ALTA: org.4.\nP\xE1\
        gina 34"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:org.4.6
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node323
      ref_id: org.4.6
      description: "Utilizaci\xF3n de soportes de informaci\xF3n."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: org.4.\n\
        \u2013 Categor\xEDa MEDIA: org.4.\n\u2013 Categor\xEDa ALTA: org.4.\nP\xE1\
        gina 34"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:org.4.7
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node323
      ref_id: org.4.7
      description: "Utilizaci\xF3n de equipos m\xF3viles. Se entender\xE1 por equipos\
        \ m\xF3viles ordenadores port\xE1tiles, tabletas, tel\xE9fonos m\xF3viles\
        \ u otros de naturaleza an\xE1loga."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: org.4.\n\
        \u2013 Categor\xEDa MEDIA: org.4.\n\u2013 Categor\xEDa ALTA: org.4.\nP\xE1\
        gina 34"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:org.4.8
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node323
      ref_id: org.4.8
      description: "Utilizaci\xF3n de servicios de terceros, bajo contrato o convenio,\
        \ concesi\xF3n, encargo, etc."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: org.4.\n\
        \u2013 Categor\xEDa MEDIA: org.4.\n\u2013 Categor\xEDa ALTA: org.4.\nP\xE1\
        gina 34"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-ii-4
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-ii
      ref_id: ANEXO II-4
      name: Marco operacional [op]
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.pl
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-ii-4
      ref_id: op.pl
      name: "Planificaci\xF3n"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.pl.1
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.pl
      ref_id: op.pl.1
      name: "An\xE1lisis de riesgos"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node335
      assessable: false
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.pl.1
      description: "Se realizar\xE1 un an\xE1lisis de riesgos informal, realizado\
        \ en lenguaje natural. Es decir, una exposici\xF3n textual que:"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ' ALTA'
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.pl.1.1
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node335
      ref_id: op.pl.1.1
      description: "Identifique los activos m\xE1s valiosos del sistema. (Ver op.exp.1)."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: op.pl.1.\n\
        \u2013 Categor\xEDa MEDIA: op.pl.1 + R1.\n\u2013 Categor\xEDa ALTA: op.pl.1\
        \ + R2.\nRefuerzo R1-An\xE1lisis de riesgos semiformal.\nSe deber\xE1 realizar\
        \ un an\xE1lisis de riesgos semiformal, usando un lenguaje espec\xEDfico,\
        \ con un cat\xE1logo b\xE1sico de amenazas y una sem\xE1ntica definida. Es\
        \ decir, una presentaci\xF3n con tablas que:\n\u2013 [op.pl.1.r1.1] Valore\
        \ cualitativamente los activos m\xE1s valiosos del sistema.\n\u2013 [op.pl.1.r1.2]\
        \ Cuantifique las amenazas m\xE1s probables.\n\u2013 [op.pl.1.r1.3] Valore\
        \ las salvaguardas que protegen de dichas amenazas.\n\u2013 [op.pl.1.r1.4]\
        \ Valore el riesgo residual.\nRefuerzo R2-An\xE1lisis de riesgos formal.\n\
        Se deber\xE1 realizar un an\xE1lisis formal, usando un lenguaje espec\xED\
        fico, con un fundamento matem\xE1tico reconocido internacionalmente, que:\n\
        \u2013 [op.pl.1.r2.1] Valore cualitativamente los activos m\xE1s valiosos\
        \ del sistema.\n\u2013 [op.pl.1.r2.2] Cuantifique las amenazas posibles.\n\
        \u2013 [op.pl.1.r2.3] Valore y priorice las salvaguardas adecuadas.\n\u2013\
        \ [op.pl.1.r2.4] Valore y asuma formalmente el riesgo residual.\nP\xE1gina\
        \ 35"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ' ALTA'
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.pl.1.2
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node335
      ref_id: op.pl.1.2
      description: "Identifique las amenazas m\xE1s probables."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: op.pl.1.\n\
        \u2013 Categor\xEDa MEDIA: op.pl.1 + R1.\n\u2013 Categor\xEDa ALTA: op.pl.1\
        \ + R2.\nRefuerzo R1-An\xE1lisis de riesgos semiformal.\nSe deber\xE1 realizar\
        \ un an\xE1lisis de riesgos semiformal, usando un lenguaje espec\xEDfico,\
        \ con un cat\xE1logo b\xE1sico de amenazas y una sem\xE1ntica definida. Es\
        \ decir, una presentaci\xF3n con tablas que:\n\u2013 [op.pl.1.r1.1] Valore\
        \ cualitativamente los activos m\xE1s valiosos del sistema.\n\u2013 [op.pl.1.r1.2]\
        \ Cuantifique las amenazas m\xE1s probables.\n\u2013 [op.pl.1.r1.3] Valore\
        \ las salvaguardas que protegen de dichas amenazas.\n\u2013 [op.pl.1.r1.4]\
        \ Valore el riesgo residual.\nRefuerzo R2-An\xE1lisis de riesgos formal.\n\
        Se deber\xE1 realizar un an\xE1lisis formal, usando un lenguaje espec\xED\
        fico, con un fundamento matem\xE1tico reconocido internacionalmente, que:\n\
        \u2013 [op.pl.1.r2.1] Valore cualitativamente los activos m\xE1s valiosos\
        \ del sistema.\n\u2013 [op.pl.1.r2.2] Cuantifique las amenazas posibles.\n\
        \u2013 [op.pl.1.r2.3] Valore y priorice las salvaguardas adecuadas.\n\u2013\
        \ [op.pl.1.r2.4] Valore y asuma formalmente el riesgo residual.\nP\xE1gina\
        \ 35"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ' ALTA'
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.pl.1.3
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node335
      ref_id: op.pl.1.3
      description: Identifique las salvaguardas que protegen de dichas amenazas.
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: op.pl.1.\n\
        \u2013 Categor\xEDa MEDIA: op.pl.1 + R1.\n\u2013 Categor\xEDa ALTA: op.pl.1\
        \ + R2.\nRefuerzo R1-An\xE1lisis de riesgos semiformal.\nSe deber\xE1 realizar\
        \ un an\xE1lisis de riesgos semiformal, usando un lenguaje espec\xEDfico,\
        \ con un cat\xE1logo b\xE1sico de amenazas y una sem\xE1ntica definida. Es\
        \ decir, una presentaci\xF3n con tablas que:\n\u2013 [op.pl.1.r1.1] Valore\
        \ cualitativamente los activos m\xE1s valiosos del sistema.\n\u2013 [op.pl.1.r1.2]\
        \ Cuantifique las amenazas m\xE1s probables.\n\u2013 [op.pl.1.r1.3] Valore\
        \ las salvaguardas que protegen de dichas amenazas.\n\u2013 [op.pl.1.r1.4]\
        \ Valore el riesgo residual.\nRefuerzo R2-An\xE1lisis de riesgos formal.\n\
        Se deber\xE1 realizar un an\xE1lisis formal, usando un lenguaje espec\xED\
        fico, con un fundamento matem\xE1tico reconocido internacionalmente, que:\n\
        \u2013 [op.pl.1.r2.1] Valore cualitativamente los activos m\xE1s valiosos\
        \ del sistema.\n\u2013 [op.pl.1.r2.2] Cuantifique las amenazas posibles.\n\
        \u2013 [op.pl.1.r2.3] Valore y priorice las salvaguardas adecuadas.\n\u2013\
        \ [op.pl.1.r2.4] Valore y asuma formalmente el riesgo residual.\nP\xE1gina\
        \ 35"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ' ALTA'
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.pl.1.4
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node335
      ref_id: op.pl.1.4
      description: Identifique los principales riesgos residuales.
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: op.pl.1.\n\
        \u2013 Categor\xEDa MEDIA: op.pl.1 + R1.\n\u2013 Categor\xEDa ALTA: op.pl.1\
        \ + R2.\nRefuerzo R1-An\xE1lisis de riesgos semiformal.\nSe deber\xE1 realizar\
        \ un an\xE1lisis de riesgos semiformal, usando un lenguaje espec\xEDfico,\
        \ con un cat\xE1logo b\xE1sico de amenazas y una sem\xE1ntica definida. Es\
        \ decir, una presentaci\xF3n con tablas que:\n\u2013 [op.pl.1.r1.1] Valore\
        \ cualitativamente los activos m\xE1s valiosos del sistema.\n\u2013 [op.pl.1.r1.2]\
        \ Cuantifique las amenazas m\xE1s probables.\n\u2013 [op.pl.1.r1.3] Valore\
        \ las salvaguardas que protegen de dichas amenazas.\n\u2013 [op.pl.1.r1.4]\
        \ Valore el riesgo residual.\nRefuerzo R2-An\xE1lisis de riesgos formal.\n\
        Se deber\xE1 realizar un an\xE1lisis formal, usando un lenguaje espec\xED\
        fico, con un fundamento matem\xE1tico reconocido internacionalmente, que:\n\
        \u2013 [op.pl.1.r2.1] Valore cualitativamente los activos m\xE1s valiosos\
        \ del sistema.\n\u2013 [op.pl.1.r2.2] Cuantifique las amenazas posibles.\n\
        \u2013 [op.pl.1.r2.3] Valore y priorice las salvaguardas adecuadas.\n\u2013\
        \ [op.pl.1.r2.4] Valore y asuma formalmente el riesgo residual.\nP\xE1gina\
        \ 35"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ' ALTA'
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.pl.2
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.pl
      ref_id: op.pl.2
      name: Arquitectura de seguridad
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node341
      assessable: false
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.pl.2
      description: "La seguridad del sistema ser\xE1 objeto de un planteamiento integral\
        \ detallando, al menos, los siguientes aspectos:"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ' ALTA'
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.pl.2.1
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node341
      ref_id: op.pl.2.1
      description: "Documentaci\xF3n de las instalaciones, incluyendo \xE1reas y puntos\
        \ de acceso."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: op.pl.2.\n\
        \u2013 Categor\xEDa MEDIA: op.pl.2 + R1.\n\u2013 Categor\xEDa ALTA: op.pl.2\
        \ + R1 + R2 + R3.\nRefuerzo R1-Sistema de gesti\xF3n.\n[op.pl.2.r1.1] Sistema\
        \ de gesti\xF3n, relativo a la planificaci\xF3n, organizaci\xF3n y control\
        \ de los recursos relativos a la seguridad de la informaci\xF3n.\nRefuerzo\
        \ R2-Sistema de gesti\xF3n de la seguridad con mejora continua.\n[op.pl.2.r2.1]\
        \ Sistema de gesti\xF3n de la seguridad de la informaci\xF3n, con actualizaci\xF3\
        n y aprobaci\xF3n peri\xF3dica.\nRefuerzo R3-Validaci\xF3n de datos.\n[op.pl.2.r3.1]\
        \ Controles t\xE9cnicos internos, incluyendo la validaci\xF3n de datos de\
        \ entrada, salida y datos intermedios.\nP\xE1gina 36"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ' ALTA'
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.pl.2.2
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node341
      ref_id: op.pl.2.2
      description: "Documentaci\xF3n del sistema, incluyendo equipos, redes internas\
        \ y conexiones al exterior, y puntos de acceso al sistema (puestos de trabajo\
        \ y consolas de administraci\xF3n)."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: op.pl.2.\n\
        \u2013 Categor\xEDa MEDIA: op.pl.2 + R1.\n\u2013 Categor\xEDa ALTA: op.pl.2\
        \ + R1 + R2 + R3.\nRefuerzo R1-Sistema de gesti\xF3n.\n[op.pl.2.r1.1] Sistema\
        \ de gesti\xF3n, relativo a la planificaci\xF3n, organizaci\xF3n y control\
        \ de los recursos relativos a la seguridad de la informaci\xF3n.\nRefuerzo\
        \ R2-Sistema de gesti\xF3n de la seguridad con mejora continua.\n[op.pl.2.r2.1]\
        \ Sistema de gesti\xF3n de la seguridad de la informaci\xF3n, con actualizaci\xF3\
        n y aprobaci\xF3n peri\xF3dica.\nRefuerzo R3-Validaci\xF3n de datos.\n[op.pl.2.r3.1]\
        \ Controles t\xE9cnicos internos, incluyendo la validaci\xF3n de datos de\
        \ entrada, salida y datos intermedios.\nP\xE1gina 36"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ' ALTA'
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.pl.2.3
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node341
      ref_id: op.pl.2.3
      description: "Esquema de l\xEDneas de defensa, incluyendo puntos de interconexi\xF3\
        n a otros sistemas o a otras redes (en especial, si se trata de internet o\
        \ redes p\xFAblicas en general); cortafuegos, DMZ, etc.; y la utilizaci\xF3\
        n de tecnolog\xEDas diferentes para prevenir vulnerabilidades que pudieran\
        \ perforar simult\xE1neamente varias l\xEDneas de defensa."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: op.pl.2.\n\
        \u2013 Categor\xEDa MEDIA: op.pl.2 + R1.\n\u2013 Categor\xEDa ALTA: op.pl.2\
        \ + R1 + R2 + R3.\nRefuerzo R1-Sistema de gesti\xF3n.\n[op.pl.2.r1.1] Sistema\
        \ de gesti\xF3n, relativo a la planificaci\xF3n, organizaci\xF3n y control\
        \ de los recursos relativos a la seguridad de la informaci\xF3n.\nRefuerzo\
        \ R2-Sistema de gesti\xF3n de la seguridad con mejora continua.\n[op.pl.2.r2.1]\
        \ Sistema de gesti\xF3n de la seguridad de la informaci\xF3n, con actualizaci\xF3\
        n y aprobaci\xF3n peri\xF3dica.\nRefuerzo R3-Validaci\xF3n de datos.\n[op.pl.2.r3.1]\
        \ Controles t\xE9cnicos internos, incluyendo la validaci\xF3n de datos de\
        \ entrada, salida y datos intermedios.\nP\xE1gina 36"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ' ALTA'
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.pl.2.4
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node341
      ref_id: op.pl.2.4
      description: "Sistema de identificaci\xF3n y autenticaci\xF3n de usuarios, incluyendo\
        \ el uso de claves concertadas, contrase\xF1as, tarjetas de identificaci\xF3\
        n, biometr\xEDa, u otras de naturaleza an\xE1loga, y el uso de ficheros o\
        \ directorios para autenticar al usuario y determinar sus derechos de acceso."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: op.pl.2.\n\
        \u2013 Categor\xEDa MEDIA: op.pl.2 + R1.\n\u2013 Categor\xEDa ALTA: op.pl.2\
        \ + R1 + R2 + R3.\nRefuerzo R1-Sistema de gesti\xF3n.\n[op.pl.2.r1.1] Sistema\
        \ de gesti\xF3n, relativo a la planificaci\xF3n, organizaci\xF3n y control\
        \ de los recursos relativos a la seguridad de la informaci\xF3n.\nRefuerzo\
        \ R2-Sistema de gesti\xF3n de la seguridad con mejora continua.\n[op.pl.2.r2.1]\
        \ Sistema de gesti\xF3n de la seguridad de la informaci\xF3n, con actualizaci\xF3\
        n y aprobaci\xF3n peri\xF3dica.\nRefuerzo R3-Validaci\xF3n de datos.\n[op.pl.2.r3.1]\
        \ Controles t\xE9cnicos internos, incluyendo la validaci\xF3n de datos de\
        \ entrada, salida y datos intermedios.\nP\xE1gina 36"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ' ALTA'
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.pl.3
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.pl
      ref_id: op.pl.3
      name: "Adquisici\xF3n de nuevos componentes"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node347
      assessable: false
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.pl.3
      description: "Se establecer\xE1 un proceso formal para planificar la adquisici\xF3\
        n de nuevos componentes del sistema, proceso que:"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ' ALTA'
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.pl.3.1
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node347
      ref_id: op.pl.3.1
      description: "Atender\xE1 a las conclusiones del an\xE1lisis de riesgos ([op.pl.1])."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: op.pl.3.\n\
        \u2013 Categor\xEDa MEDIA: op.pl.3.\n\u2013 Categor\xEDa ALTA: op.pl.3.\n\
        P\xE1gina 37"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ' ALTA'
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.pl.3.2
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node347
      ref_id: op.pl.3.2
      description: "Ser\xE1 acorde a la arquitectura de seguridad escogida ([op.pl.2])."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: op.pl.3.\n\
        \u2013 Categor\xEDa MEDIA: op.pl.3.\n\u2013 Categor\xEDa ALTA: op.pl.3.\n\
        P\xE1gina 37"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ' ALTA'
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.pl.3.3
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node347
      ref_id: op.pl.3.3
      description: "Contemplar\xE1 las necesidades t\xE9cnicas, de formaci\xF3n y\
        \ de financiaci\xF3n, de forma conjunta."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: op.pl.3.\n\
        \u2013 Categor\xEDa MEDIA: op.pl.3.\n\u2013 Categor\xEDa ALTA: op.pl.3.\n\
        P\xE1gina 37"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ' ALTA'
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.pl.4
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.pl
      ref_id: op.pl.4
      name: "Dimensionamiento / gesti\xF3n de la capacidad "
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node352
      assessable: false
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.pl.4
      description: "Con car\xE1cter previo a la puesta en explotaci\xF3n, se realizar\xE1\
        \ un estudio que cubrir\xE1 los siguientes aspectos:"
      implementation_groups:
      - BAJO
      - MEDIO
      - ' ALTO'
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.pl.4.1
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node352
      ref_id: op.pl.4.1
      description: Necesidades de procesamiento.
      annotation: "Aplicaci\xF3n de la medida (por disponibilidad):\n\u2013 Nivel\
        \ BAJO: op.pl.4.\n\u2013 Nivel MEDIO: op.pl.4 + R1.\n\u2013 Nivel ALTO: op.pl.4\
        \ + R1.\n\u2013 [op.pl.4.5] Necesidades de instalaciones y medios auxiliares.\n\
        Refuerzo R1 \u2013Mejora continua de la gesti\xF3n de la capacidad.\n\u2013\
        \ [op.pl.4.r1.1] Se realizar\xE1 una previsi\xF3n de la capacidad y se mantendr\xE1\
        \ actualizada durante todo el ciclo de vida del sistema.\n\u2013 [op.pl.4.r1.2]\
        \ Se emplear\xE1n herramientas y recursos para la monitorizaci\xF3n de la\
        \ capacidad.\nP\xE1gina 37"
      implementation_groups:
      - BAJO
      - MEDIO
      - ' ALTO'
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.pl.4.2
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node352
      ref_id: op.pl.4.2
      description: "Necesidades de almacenamiento de informaci\xF3n: durante su procesamiento\
        \ y durante el periodo que deba retenerse."
      annotation: "Aplicaci\xF3n de la medida (por disponibilidad):\n\u2013 Nivel\
        \ BAJO: op.pl.4.\n\u2013 Nivel MEDIO: op.pl.4 + R1.\n\u2013 Nivel ALTO: op.pl.4\
        \ + R1.\n\u2013 [op.pl.4.5] Necesidades de instalaciones y medios auxiliares.\n\
        Refuerzo R1 \u2013Mejora continua de la gesti\xF3n de la capacidad.\n\u2013\
        \ [op.pl.4.r1.1] Se realizar\xE1 una previsi\xF3n de la capacidad y se mantendr\xE1\
        \ actualizada durante todo el ciclo de vida del sistema.\n\u2013 [op.pl.4.r1.2]\
        \ Se emplear\xE1n herramientas y recursos para la monitorizaci\xF3n de la\
        \ capacidad.\nP\xE1gina 37"
      implementation_groups:
      - BAJO
      - MEDIO
      - ' ALTO'
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.pl.4.3
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node352
      ref_id: op.pl.4.3
      description: "Necesidades de comunicaci\xF3n."
      annotation: "Aplicaci\xF3n de la medida (por disponibilidad):\n\u2013 Nivel\
        \ BAJO: op.pl.4.\n\u2013 Nivel MEDIO: op.pl.4 + R1.\n\u2013 Nivel ALTO: op.pl.4\
        \ + R1.\n\u2013 [op.pl.4.5] Necesidades de instalaciones y medios auxiliares.\n\
        Refuerzo R1 \u2013Mejora continua de la gesti\xF3n de la capacidad.\n\u2013\
        \ [op.pl.4.r1.1] Se realizar\xE1 una previsi\xF3n de la capacidad y se mantendr\xE1\
        \ actualizada durante todo el ciclo de vida del sistema.\n\u2013 [op.pl.4.r1.2]\
        \ Se emplear\xE1n herramientas y recursos para la monitorizaci\xF3n de la\
        \ capacidad.\nP\xE1gina 37"
      implementation_groups:
      - BAJO
      - MEDIO
      - ' ALTO'
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.pl.4.4
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node352
      ref_id: op.pl.4.4
      description: "Necesidades de personal: cantidad y cualificaci\xF3n profesional."
      annotation: "Aplicaci\xF3n de la medida (por disponibilidad):\n\u2013 Nivel\
        \ BAJO: op.pl.4.\n\u2013 Nivel MEDIO: op.pl.4 + R1.\n\u2013 Nivel ALTO: op.pl.4\
        \ + R1.\n\u2013 [op.pl.4.5] Necesidades de instalaciones y medios auxiliares.\n\
        Refuerzo R1 \u2013Mejora continua de la gesti\xF3n de la capacidad.\n\u2013\
        \ [op.pl.4.r1.1] Se realizar\xE1 una previsi\xF3n de la capacidad y se mantendr\xE1\
        \ actualizada durante todo el ciclo de vida del sistema.\n\u2013 [op.pl.4.r1.2]\
        \ Se emplear\xE1n herramientas y recursos para la monitorizaci\xF3n de la\
        \ capacidad.\nP\xE1gina 37"
      implementation_groups:
      - BAJO
      - MEDIO
      - ' ALTO'
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.pl.4.5
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node352
      ref_id: op.pl.4.5
      description: Necesidades de instalaciones y medios auxiliares.
      annotation: "Aplicaci\xF3n de la medida (por disponibilidad):\n\u2013 Nivel\
        \ BAJO: op.pl.4.\n\u2013 Nivel MEDIO: op.pl.4 + R1.\n\u2013 Nivel ALTO: op.pl.4\
        \ + R1.\n\u2013 [op.pl.4.5] Necesidades de instalaciones y medios auxiliares.\n\
        Refuerzo R1 \u2013Mejora continua de la gesti\xF3n de la capacidad.\n\u2013\
        \ [op.pl.4.r1.1] Se realizar\xE1 una previsi\xF3n de la capacidad y se mantendr\xE1\
        \ actualizada durante todo el ciclo de vida del sistema.\n\u2013 [op.pl.4.r1.2]\
        \ Se emplear\xE1n herramientas y recursos para la monitorizaci\xF3n de la\
        \ capacidad.\nP\xE1gina 37"
      implementation_groups:
      - BAJO
      - MEDIO
      - ' ALTO'
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.pl.5
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.pl
      ref_id: op.pl.5
      name: Componentes certificados
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.pl.5.1
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.pl.5
      ref_id: op.pl.5.1
      description: " Se utilizar\xE1 el Cat\xE1logo de Productos y Servicios de Seguridad\
        \ de las Tecnolog\xEDas de la Informaci\xF3n y Comunicaci\xF3n (CPSTIC) del\
        \ CCN, para seleccionar los productos o servicios suministrados por un tercero\
        \ que formen parte de la arquitectura de seguridad del sistema y aquellos\
        \ que se referencien expresamente en las medidas de este real decreto."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: no\
        \ aplica.\n\u2013 Categor\xEDa MEDIA: op.pl.5.\n\u2013 Categor\xEDa ALTA:\
        \ op.pl.5.\nRefuerzo R1-Protecci\xF3n de emisiones electromagn\xE9ticas.\n\
        [op.pl.5.r1.1] La informaci\xF3n deber\xE1 ser protegida frente a las amenazas\
        \ TEMPEST de acuerdo con la normativa en vigor.\nRefuerzo R2 - Lista de componentes\
        \ software.\n[op.pl.5.r2.1] Cada producto y servicio incluir\xE1 en su descripci\xF3\
        n una lista de componentes software, acorde a lo especificado en [mp.sw.1.r5].\n\
        P\xE1gina 38"
      implementation_groups:
      - MEDIA
      - ' ALTA'
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node360
      assessable: false
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.pl.5
      description: "En caso de que no existan productos o servicios en el CPSTIC que\
        \ implementen las funcionalidades requeridas, se utilizar\xE1n productos certificados\
        \ de acuerdo a lo descrito en el art\xEDculo 19"
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: no\
        \ aplica.\n\u2013 Categor\xEDa MEDIA: op.pl.5.\n\u2013 Categor\xEDa ALTA:\
        \ op.pl.5.\nRefuerzo R1-Protecci\xF3n de emisiones electromagn\xE9ticas.\n\
        [op.pl.5.r1.1] La informaci\xF3n deber\xE1 ser protegida frente a las amenazas\
        \ TEMPEST de acuerdo con la normativa en vigor.\nRefuerzo R2 - Lista de componentes\
        \ software.\n[op.pl.5.r2.1] Cada producto y servicio incluir\xE1 en su descripci\xF3\
        n una lista de componentes software, acorde a lo especificado en [mp.sw.1.r5].\n\
        P\xE1gina 38"
      implementation_groups:
      - MEDIA
      - ' ALTA'
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node361
      assessable: false
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.pl.5
      description: "Una Instrucci\xF3n T\xE9cnica de Seguridad detallar\xE1 los criterios\
        \ relativos a la adquisici\xF3n de productos de seguridad."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: no\
        \ aplica.\n\u2013 Categor\xEDa MEDIA: op.pl.5.\n\u2013 Categor\xEDa ALTA:\
        \ op.pl.5.\nRefuerzo R1-Protecci\xF3n de emisiones electromagn\xE9ticas.\n\
        [op.pl.5.r1.1] La informaci\xF3n deber\xE1 ser protegida frente a las amenazas\
        \ TEMPEST de acuerdo con la normativa en vigor.\nRefuerzo R2 - Lista de componentes\
        \ software.\n[op.pl.5.r2.1] Cada producto y servicio incluir\xE1 en su descripci\xF3\
        n una lista de componentes software, acorde a lo especificado en [mp.sw.1.r5].\n\
        P\xE1gina 38"
      implementation_groups:
      - MEDIA
      - ' ALTA'
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.pl.5.2
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.pl.5
      ref_id: op.pl.5.2
      description: "Si el sistema suministra un servicio de seguridad a un tercero\
        \ bajo el alcance del ENS, el producto o productos que en los que se sustente\
        \ dicho servicio debe superar un proceso de cualificaci\xF3n y ser incluido\
        \ en el CPSTIC, o aportar una certificaci\xF3n que cumpla con los requisitos\
        \ funcionales de seguridad y de aseguramiento de acuerdo a lo establecido\
        \ en el art\xEDculo 19."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: no\
        \ aplica.\n\u2013 Categor\xEDa MEDIA: op.pl.5.\n\u2013 Categor\xEDa ALTA:\
        \ op.pl.5.\nRefuerzo R1-Protecci\xF3n de emisiones electromagn\xE9ticas.\n\
        [op.pl.5.r1.1] La informaci\xF3n deber\xE1 ser protegida frente a las amenazas\
        \ TEMPEST de acuerdo con la normativa en vigor.\nRefuerzo R2 - Lista de componentes\
        \ software.\n[op.pl.5.r2.1] Cada producto y servicio incluir\xE1 en su descripci\xF3\
        n una lista de componentes software, acorde a lo especificado en [mp.sw.1.r5].\n\
        P\xE1gina 38"
      implementation_groups:
      - MEDIA
      - ' ALTA'
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.acc
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-ii-4
      ref_id: op.acc
      name: 'Control de acceso '
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node364
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.acc
      description: "El control de acceso comprende el conjunto de actividades preparatorias\
        \ y ejecutivas tendentes a permitir o denegar a una entidad, usuario o proceso,\
        \ el acceso a un recurso del sistema para la realizaci\xF3n de una acci\xF3\
        n concreta."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node365
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.acc
      description: "Los mecanismos de control de acceso deber\xE1n equilibrar la facilidad\
        \ de uso y la protecci\xF3n de la informaci\xF3n y los servicios, primando\
        \ una u otra caracter\xEDstica atendiendo a la categor\xEDa de seguridad del\
        \ sistema."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node366
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.acc
      description: "torizaci\xF3n tengan lugar en diferentes dominios de seguridad,\
        \ bajo distintas responsabilidades, en los casos en que sea necesario, las\
        \ medidas de seguridad locales se acompa\xF1ar\xE1n de los correspondientes\
        \ acuerdos de colaboraci\xF3n que delimiten mecanismos y procedimientos para\
        \ la atribuci\xF3n y ejercicio efectivos de las responsabilidades de cada\
        \ sistema ([op.ext])."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.acc.1
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.acc
      ref_id: op.acc.1
      name: "Identificaci\xF3n"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node368
      assessable: false
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.acc.1
      description: "La identificaci\xF3n de los usuarios del sistema se realizar\xE1\
        \ de acuerdo con lo que se indica a continuaci\xF3n:"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.acc.1.1
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node368
      ref_id: op.acc.1.1
      description: "Se podr\xE1 utilizar como identificador \xFAnico los sistemas\
        \ de identificaci\xF3n previstos en la normativa de aplicaci\xF3n, entre ellos,\
        \ los sistemas de clave concertada y cualquier otro sistema que las administraciones\
        \ consideren v\xE1lido en los t\xE9rminos y condiciones establecidos en la\
        \ Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Com\xFAn\
        \ de las Administraciones P\xFAblicas."
      annotation: "Aplicaci\xF3n de la medida (por trazabilidad y autenticidad).\n\
        \u2013 Nivel BAJO: op.acc.1.\n\u2013 Nivel MEDIO: op.acc.1 +R1.\n\u2013 Nivel\
        \ ALTO: op.acc.1+ R1.\nRefuerzo R1-Identificaci\xF3n avanzada.\n\u2013 [op.acc.1.r1.1]\
        \ La identificaci\xF3n del usuario permitir\xE1 al Responsable del Sistema,\
        \ al Responsable de la Seguridad o a sus respectivos administradores delegados,\
        \ singularizar a la persona asociada al mismo, as\xED como sus responsabilidades\
        \ en el sistema.\n\u2013 [op.acc.1.r1.2] Los datos de identificaci\xF3n ser\xE1\
        n utilizados por el sistema para determinar los privilegios del usuario conforme\
        \ a los requisitos de control de acceso establecidos en la documentaci\xF3\
        n de seguridad.\n\u2013 [op.acc.1.r1.3] Se asegurar\xE1 la existencia de una\
        \ lista actualizada de usuarios autorizados y mantenida por el administrador\
        \ del sistema/de la seguridad del sistema.\nP\xE1gina 39"
      implementation_groups:
      - BAJO
      - ' MEDIO'
      - ' ALTO'
      - T
      - A
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.acc.1.2
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node368
      ref_id: op.acc.1.2
      description: "Cuando el usuario tenga diferentes roles frente al sistema (como\
        \ ciudadano o usuario final, como trabajador del organismo o como administrador\
        \ de los sistemas, por ejemplo) recibir\xE1 identificadores singulares para\
        \ cada perfil, de forma que se recaben siempre los correspondientes registros\
        \ de actividad, delimit\xE1ndose los privilegios correspondientes a cada perfil."
      annotation: "Aplicaci\xF3n de la medida (por trazabilidad y autenticidad).\n\
        \u2013 Nivel BAJO: op.acc.1.\n\u2013 Nivel MEDIO: op.acc.1 +R1.\n\u2013 Nivel\
        \ ALTO: op.acc.1+ R1.\nRefuerzo R1-Identificaci\xF3n avanzada.\n\u2013 [op.acc.1.r1.1]\
        \ La identificaci\xF3n del usuario permitir\xE1 al Responsable del Sistema,\
        \ al Responsable de la Seguridad o a sus respectivos administradores delegados,\
        \ singularizar a la persona asociada al mismo, as\xED como sus responsabilidades\
        \ en el sistema.\n\u2013 [op.acc.1.r1.2] Los datos de identificaci\xF3n ser\xE1\
        n utilizados por el sistema para determinar los privilegios del usuario conforme\
        \ a los requisitos de control de acceso establecidos en la documentaci\xF3\
        n de seguridad.\n\u2013 [op.acc.1.r1.3] Se asegurar\xE1 la existencia de una\
        \ lista actualizada de usuarios autorizados y mantenida por el administrador\
        \ del sistema/de la seguridad del sistema.\nP\xE1gina 39"
      implementation_groups:
      - BAJO
      - ' MEDIO'
      - ' ALTO'
      - T
      - A
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.acc.1.3
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node368
      ref_id: op.acc.1.3
      description: " Cada entidad (entidad, usuario o proceso) que accede al sistema,\
        \ contar\xE1 con un identificador singular que permita conocer el destinatario\
        \ de los mismos y los derechos de acceso que recibe, as\xED como las acciones\
        \ realizadas por cada entidad."
      annotation: "Aplicaci\xF3n de la medida (por trazabilidad y autenticidad).\n\
        \u2013 Nivel BAJO: op.acc.1.\n\u2013 Nivel MEDIO: op.acc.1 +R1.\n\u2013 Nivel\
        \ ALTO: op.acc.1+ R1.\nRefuerzo R1-Identificaci\xF3n avanzada.\n\u2013 [op.acc.1.r1.1]\
        \ La identificaci\xF3n del usuario permitir\xE1 al Responsable del Sistema,\
        \ al Responsable de la Seguridad o a sus respectivos administradores delegados,\
        \ singularizar a la persona asociada al mismo, as\xED como sus responsabilidades\
        \ en el sistema.\n\u2013 [op.acc.1.r1.2] Los datos de identificaci\xF3n ser\xE1\
        n utilizados por el sistema para determinar los privilegios del usuario conforme\
        \ a los requisitos de control de acceso establecidos en la documentaci\xF3\
        n de seguridad.\n\u2013 [op.acc.1.r1.3] Se asegurar\xE1 la existencia de una\
        \ lista actualizada de usuarios autorizados y mantenida por el administrador\
        \ del sistema/de la seguridad del sistema.\nP\xE1gina 39"
      implementation_groups:
      - BAJO
      - ' MEDIO'
      - ' ALTO'
      - T
      - A
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.acc.1.4
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node368
      ref_id: op.acc.1.4
      description: "Las cuentas de usuario se gestionar\xE1n de la siguiente forma:"
      annotation: "Aplicaci\xF3n de la medida (por trazabilidad y autenticidad).\n\
        \u2013 Nivel BAJO: op.acc.1.\n\u2013 Nivel MEDIO: op.acc.1 +R1.\n\u2013 Nivel\
        \ ALTO: op.acc.1+ R1.\nRefuerzo R1-Identificaci\xF3n avanzada.\n\u2013 [op.acc.1.r1.1]\
        \ La identificaci\xF3n del usuario permitir\xE1 al Responsable del Sistema,\
        \ al Responsable de la Seguridad o a sus respectivos administradores delegados,\
        \ singularizar a la persona asociada al mismo, as\xED como sus responsabilidades\
        \ en el sistema.\n\u2013 [op.acc.1.r1.2] Los datos de identificaci\xF3n ser\xE1\
        n utilizados por el sistema para determinar los privilegios del usuario conforme\
        \ a los requisitos de control de acceso establecidos en la documentaci\xF3\
        n de seguridad.\n\u2013 [op.acc.1.r1.3] Se asegurar\xE1 la existencia de una\
        \ lista actualizada de usuarios autorizados y mantenida por el administrador\
        \ del sistema/de la seguridad del sistema.\nP\xE1gina 39"
      implementation_groups:
      - BAJO
      - ' MEDIO'
      - ' ALTO'
      - T
      - A
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.acc.1.4.a
      assessable: true
      depth: 7
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.acc.1.4
      ref_id: op.acc.1.4.a
      description: "Cada cuenta (de entidad, usuario o proceso) estar\xE1 asociada\
        \ a un identificador \xFAnico."
      annotation: "Aplicaci\xF3n de la medida (por trazabilidad y autenticidad).\n\
        \u2013 Nivel BAJO: op.acc.1.\n\u2013 Nivel MEDIO: op.acc.1 +R1.\n\u2013 Nivel\
        \ ALTO: op.acc.1+ R1.\nRefuerzo R1-Identificaci\xF3n avanzada.\n\u2013 [op.acc.1.r1.1]\
        \ La identificaci\xF3n del usuario permitir\xE1 al Responsable del Sistema,\
        \ al Responsable de la Seguridad o a sus respectivos administradores delegados,\
        \ singularizar a la persona asociada al mismo, as\xED como sus responsabilidades\
        \ en el sistema.\n\u2013 [op.acc.1.r1.2] Los datos de identificaci\xF3n ser\xE1\
        n utilizados por el sistema para determinar los privilegios del usuario conforme\
        \ a los requisitos de control de acceso establecidos en la documentaci\xF3\
        n de seguridad.\n\u2013 [op.acc.1.r1.3] Se asegurar\xE1 la existencia de una\
        \ lista actualizada de usuarios autorizados y mantenida por el administrador\
        \ del sistema/de la seguridad del sistema.\nP\xE1gina 39"
      implementation_groups:
      - BAJO
      - ' MEDIO'
      - ' ALTO'
      - T
      - A
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.acc.1.4.b
      assessable: true
      depth: 7
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.acc.1.4
      ref_id: op.acc.1.4.b
      description: "Las cuentas deben ser inhabilitadas en los siguientes casos: cuando\
        \ el usuario deja la organizaci\xF3n; cuando el usuario cesa en la funci\xF3\
        n para la cual se requer\xEDa la cuenta de usuario; o, cuando la persona que\
        \ la autoriz\xF3 da orden en sentido contrario."
      annotation: "Aplicaci\xF3n de la medida (por trazabilidad y autenticidad).\n\
        \u2013 Nivel BAJO: op.acc.1.\n\u2013 Nivel MEDIO: op.acc.1 +R1.\n\u2013 Nivel\
        \ ALTO: op.acc.1+ R1.\nRefuerzo R1-Identificaci\xF3n avanzada.\n\u2013 [op.acc.1.r1.1]\
        \ La identificaci\xF3n del usuario permitir\xE1 al Responsable del Sistema,\
        \ al Responsable de la Seguridad o a sus respectivos administradores delegados,\
        \ singularizar a la persona asociada al mismo, as\xED como sus responsabilidades\
        \ en el sistema.\n\u2013 [op.acc.1.r1.2] Los datos de identificaci\xF3n ser\xE1\
        n utilizados por el sistema para determinar los privilegios del usuario conforme\
        \ a los requisitos de control de acceso establecidos en la documentaci\xF3\
        n de seguridad.\n\u2013 [op.acc.1.r1.3] Se asegurar\xE1 la existencia de una\
        \ lista actualizada de usuarios autorizados y mantenida por el administrador\
        \ del sistema/de la seguridad del sistema.\nP\xE1gina 39"
      implementation_groups:
      - BAJO
      - ' MEDIO'
      - ' ALTO'
      - T
      - A
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.acc.1.4.c
      assessable: true
      depth: 7
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.acc.1.4
      ref_id: op.acc.1.4.c
      description: "Las cuentas se retendr\xE1n durante el periodo necesario para\
        \ atender a las necesidades de trazabilidad de los registros de actividad\
        \ asociados a las mismas. A este periodo se le denominar\xE1 \xABperiodo de\
        \ retenci\xF3n\xBB."
      annotation: "Aplicaci\xF3n de la medida (por trazabilidad y autenticidad).\n\
        \u2013 Nivel BAJO: op.acc.1.\n\u2013 Nivel MEDIO: op.acc.1 +R1.\n\u2013 Nivel\
        \ ALTO: op.acc.1+ R1.\nRefuerzo R1-Identificaci\xF3n avanzada.\n\u2013 [op.acc.1.r1.1]\
        \ La identificaci\xF3n del usuario permitir\xE1 al Responsable del Sistema,\
        \ al Responsable de la Seguridad o a sus respectivos administradores delegados,\
        \ singularizar a la persona asociada al mismo, as\xED como sus responsabilidades\
        \ en el sistema.\n\u2013 [op.acc.1.r1.2] Los datos de identificaci\xF3n ser\xE1\
        n utilizados por el sistema para determinar los privilegios del usuario conforme\
        \ a los requisitos de control de acceso establecidos en la documentaci\xF3\
        n de seguridad.\n\u2013 [op.acc.1.r1.3] Se asegurar\xE1 la existencia de una\
        \ lista actualizada de usuarios autorizados y mantenida por el administrador\
        \ del sistema/de la seguridad del sistema.\nP\xE1gina 39"
      implementation_groups:
      - BAJO
      - ' MEDIO'
      - ' ALTO'
      - T
      - A
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.acc.1.5
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node368
      ref_id: op.acc.1.5
      description: "En los supuestos de comunicaciones electr\xF3nicas, las partes\
        \ intervinientes se identificar\xE1n atendiendo a los mecanismos previstos\
        \ en la legislaci\xF3n europea y nacional en la materia, con la siguiente\
        \ correspondencia entre los niveles de la dimensi\xF3n de autenticidad de\
        \ los sistemas de informaci\xF3n a los que se tiene acceso y los niveles de\
        \ seguridad (bajo, sustancial, alto) de los sistemas de identificaci\xF3n\
        \ electr\xF3nica previstos en el Reglamento (UE) n.\xBA 910/2014, del Parlamento\
        \ Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificaci\xF3\
        n electr\xF3nica y los servicios de confianza para las transacciones electr\xF3\
        nicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE\
        \ y sus normas de desarrollo o ejecuci\xF3n que resulten de aplicaci\xF3n:"
      annotation: "Aplicaci\xF3n de la medida (por trazabilidad y autenticidad).\n\
        \u2013 Nivel BAJO: op.acc.1.\n\u2013 Nivel MEDIO: op.acc.1 +R1.\n\u2013 Nivel\
        \ ALTO: op.acc.1+ R1.\nRefuerzo R1-Identificaci\xF3n avanzada.\n\u2013 [op.acc.1.r1.1]\
        \ La identificaci\xF3n del usuario permitir\xE1 al Responsable del Sistema,\
        \ al Responsable de la Seguridad o a sus respectivos administradores delegados,\
        \ singularizar a la persona asociada al mismo, as\xED como sus responsabilidades\
        \ en el sistema.\n\u2013 [op.acc.1.r1.2] Los datos de identificaci\xF3n ser\xE1\
        n utilizados por el sistema para determinar los privilegios del usuario conforme\
        \ a los requisitos de control de acceso establecidos en la documentaci\xF3\
        n de seguridad.\n\u2013 [op.acc.1.r1.3] Se asegurar\xE1 la existencia de una\
        \ lista actualizada de usuarios autorizados y mantenida por el administrador\
        \ del sistema/de la seguridad del sistema.\nP\xE1gina 39"
      implementation_groups:
      - BAJO
      - ' MEDIO'
      - ' ALTO'
      - T
      - A
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.acc.1.5.a
      assessable: true
      depth: 7
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.acc.1.5
      ref_id: op.acc.1.5.a
      description: "Si se requiere un nivel BAJO en la dimensi\xF3n de autenticidad\
        \ (anexo I): Nivel de seguridad bajo, sustancial o alto (art\xEDculo 8 del\
        \ Reglamento (UE) n.\xBA 910/2014)."
      annotation: "Aplicaci\xF3n de la medida (por trazabilidad y autenticidad).\n\
        \u2013 Nivel BAJO: op.acc.1.\n\u2013 Nivel MEDIO: op.acc.1 +R1.\n\u2013 Nivel\
        \ ALTO: op.acc.1+ R1.\nRefuerzo R1-Identificaci\xF3n avanzada.\n\u2013 [op.acc.1.r1.1]\
        \ La identificaci\xF3n del usuario permitir\xE1 al Responsable del Sistema,\
        \ al Responsable de la Seguridad o a sus respectivos administradores delegados,\
        \ singularizar a la persona asociada al mismo, as\xED como sus responsabilidades\
        \ en el sistema.\n\u2013 [op.acc.1.r1.2] Los datos de identificaci\xF3n ser\xE1\
        n utilizados por el sistema para determinar los privilegios del usuario conforme\
        \ a los requisitos de control de acceso establecidos en la documentaci\xF3\
        n de seguridad.\n\u2013 [op.acc.1.r1.3] Se asegurar\xE1 la existencia de una\
        \ lista actualizada de usuarios autorizados y mantenida por el administrador\
        \ del sistema/de la seguridad del sistema.\nP\xE1gina 39"
      implementation_groups:
      - BAJO
      - ' MEDIO'
      - ' ALTO'
      - T
      - A
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.acc.1.5.b
      assessable: true
      depth: 7
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.acc.1.5
      ref_id: op.acc.1.5.b
      description: "Si se requiere un nivel MEDIO en la dimensi\xF3n de autenticidad\
        \ (anexo I): Nivel de seguridad sustancial o alto (art\xEDculo 8 del Reglamento\
        \ (UE) n.\xBA 910/2014)."
      annotation: "Aplicaci\xF3n de la medida (por trazabilidad y autenticidad).\n\
        \u2013 Nivel BAJO: op.acc.1.\n\u2013 Nivel MEDIO: op.acc.1 +R1.\n\u2013 Nivel\
        \ ALTO: op.acc.1+ R1.\nRefuerzo R1-Identificaci\xF3n avanzada.\n\u2013 [op.acc.1.r1.1]\
        \ La identificaci\xF3n del usuario permitir\xE1 al Responsable del Sistema,\
        \ al Responsable de la Seguridad o a sus respectivos administradores delegados,\
        \ singularizar a la persona asociada al mismo, as\xED como sus responsabilidades\
        \ en el sistema.\n\u2013 [op.acc.1.r1.2] Los datos de identificaci\xF3n ser\xE1\
        n utilizados por el sistema para determinar los privilegios del usuario conforme\
        \ a los requisitos de control de acceso establecidos en la documentaci\xF3\
        n de seguridad.\n\u2013 [op.acc.1.r1.3] Se asegurar\xE1 la existencia de una\
        \ lista actualizada de usuarios autorizados y mantenida por el administrador\
        \ del sistema/de la seguridad del sistema.\nP\xE1gina 39"
      implementation_groups:
      - BAJO
      - ' MEDIO'
      - ' ALTO'
      - T
      - A
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.acc.1.5.c
      assessable: true
      depth: 7
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.acc.1.5
      ref_id: op.acc.1.5.c
      description: "Si se requiere un nivel ALTO en la dimensi\xF3n de autenticidad\
        \ (anexo I): Nivel de seguridad alto (art\xEDculo 8 del Reglamento (UE) n.\xBA\
        \ 910/2014)."
      annotation: "Aplicaci\xF3n de la medida (por trazabilidad y autenticidad).\n\
        \u2013 Nivel BAJO: op.acc.1.\n\u2013 Nivel MEDIO: op.acc.1 +R1.\n\u2013 Nivel\
        \ ALTO: op.acc.1+ R1.\nRefuerzo R1-Identificaci\xF3n avanzada.\n\u2013 [op.acc.1.r1.1]\
        \ La identificaci\xF3n del usuario permitir\xE1 al Responsable del Sistema,\
        \ al Responsable de la Seguridad o a sus respectivos administradores delegados,\
        \ singularizar a la persona asociada al mismo, as\xED como sus responsabilidades\
        \ en el sistema.\n\u2013 [op.acc.1.r1.2] Los datos de identificaci\xF3n ser\xE1\
        n utilizados por el sistema para determinar los privilegios del usuario conforme\
        \ a los requisitos de control de acceso establecidos en la documentaci\xF3\
        n de seguridad.\n\u2013 [op.acc.1.r1.3] Se asegurar\xE1 la existencia de una\
        \ lista actualizada de usuarios autorizados y mantenida por el administrador\
        \ del sistema/de la seguridad del sistema.\nP\xE1gina 39"
      implementation_groups:
      - BAJO
      - ' MEDIO'
      - ' ALTO'
      - T
      - A
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.acc.2
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.acc
      ref_id: op.acc.2
      name: Requisitos de acceso
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.acc.2.1
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.acc.2
      ref_id: op.acc.2.1
      description: "Los recursos del sistema se proteger\xE1n con alg\xFAn mecanismo\
        \ que impida su utilizaci\xF3n, salvo a las entidades que disfruten de derechos\
        \ de acceso suficientes."
      annotation: "Aplicaci\xF3n de la medida (por confidencialidad, integridad, trazabilidad\
        \ y autenticidad).\n\u2013 Nivel BAJO: op.acc.2.\n\u2013 Nivel MEDIO: op.acc.2.\n\
        \u2013 Nivel ALTO: op.acc.2+ R1.\nRefuerzo R1-Privilegios de acceso.\n\u2013\
        \ [op.acc.2.r1.1] Todos los usuarios autorizados deben tener un conjunto de\
        \ atributos de seguridad (privilegios) que puedan ser mantenidos individualmente.\n\
        \u2013 [op.acc.2.r1.2] Los privilegios de acceso se implementar\xE1n para\
        \ restringir el tipo de acceso que un usuario puede tener (lectura, escritura,\
        \ modificaci\xF3n, borrado, etc.).\nRefuerzo R2-Control de acceso a dispositivos.\n\
        \u2013 [op.acc.2.r2.1] Se dispondr\xE1 de soluciones que permitan establecer\
        \ controles de acceso a los dispositivos en funci\xF3n de la pol\xEDtica de\
        \ seguridad de la organizaci\xF3n.\nP\xE1gina 40"
      implementation_groups:
      - BAJO
      - ' MEDIO'
      - ' ALTO'
      - C
      - I
      - T
      - A
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.acc.2.2
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.acc.2
      ref_id: op.acc.2.2
      description: " Los derechos de acceso de cada recurso, se establecer\xE1n seg\xFA\
        n las decisiones de la persona responsable del recurso, ateni\xE9ndose a la\
        \ pol\xEDtica y normativa de seguridad del sistema."
      annotation: "Aplicaci\xF3n de la medida (por confidencialidad, integridad, trazabilidad\
        \ y autenticidad).\n\u2013 Nivel BAJO: op.acc.2.\n\u2013 Nivel MEDIO: op.acc.2.\n\
        \u2013 Nivel ALTO: op.acc.2+ R1.\nRefuerzo R1-Privilegios de acceso.\n\u2013\
        \ [op.acc.2.r1.1] Todos los usuarios autorizados deben tener un conjunto de\
        \ atributos de seguridad (privilegios) que puedan ser mantenidos individualmente.\n\
        \u2013 [op.acc.2.r1.2] Los privilegios de acceso se implementar\xE1n para\
        \ restringir el tipo de acceso que un usuario puede tener (lectura, escritura,\
        \ modificaci\xF3n, borrado, etc.).\nRefuerzo R2-Control de acceso a dispositivos.\n\
        \u2013 [op.acc.2.r2.1] Se dispondr\xE1 de soluciones que permitan establecer\
        \ controles de acceso a los dispositivos en funci\xF3n de la pol\xEDtica de\
        \ seguridad de la organizaci\xF3n.\nP\xE1gina 40"
      implementation_groups:
      - BAJO
      - ' MEDIO'
      - ' ALTO'
      - C
      - I
      - T
      - A
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.acc.2.3
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.acc.2
      ref_id: op.acc.2.3
      description: "Particularmente, se controlar\xE1 el acceso a los componentes\
        \ del sistema operativo y a sus ficheros o registros de configuraci\xF3n."
      annotation: "Aplicaci\xF3n de la medida (por confidencialidad, integridad, trazabilidad\
        \ y autenticidad).\n\u2013 Nivel BAJO: op.acc.2.\n\u2013 Nivel MEDIO: op.acc.2.\n\
        \u2013 Nivel ALTO: op.acc.2+ R1.\nRefuerzo R1-Privilegios de acceso.\n\u2013\
        \ [op.acc.2.r1.1] Todos los usuarios autorizados deben tener un conjunto de\
        \ atributos de seguridad (privilegios) que puedan ser mantenidos individualmente.\n\
        \u2013 [op.acc.2.r1.2] Los privilegios de acceso se implementar\xE1n para\
        \ restringir el tipo de acceso que un usuario puede tener (lectura, escritura,\
        \ modificaci\xF3n, borrado, etc.).\nRefuerzo R2-Control de acceso a dispositivos.\n\
        \u2013 [op.acc.2.r2.1] Se dispondr\xE1 de soluciones que permitan establecer\
        \ controles de acceso a los dispositivos en funci\xF3n de la pol\xEDtica de\
        \ seguridad de la organizaci\xF3n.\nP\xE1gina 40"
      implementation_groups:
      - BAJO
      - ' MEDIO'
      - ' ALTO'
      - C
      - I
      - T
      - A
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.acc.3
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.acc
      ref_id: op.acc.3
      name: "Segregaci\xF3n de funciones y tareas"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node385
      assessable: false
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.acc.3
      description: "El sistema de control de acceso se organizar\xE1 de forma que\
        \ se exija la concurrencia de dos o m\xE1s personas para realizar tareas cr\xED\
        ticas, anulando la posibilidad de que un solo individuo autorizado pueda abusar\
        \ de sus derechos para cometer alguna acci\xF3n il\xEDcita o no autorizada."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.acc.3.1
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.acc.3
      ref_id: op.acc.3.1
      description: "Siempre que sea posible, las capacidades de desarrollo y operaci\xF3\
        n no recaer\xE1n en la misma persona."
      annotation: "Aplicaci\xF3n de la medida (por confidencialidad, integridad, trazabilidad\
        \ y autenticidad).\n\u2013 Nivel BAJO: no aplica.\n\u2013 Nivel MEDIO: op.acc.3.\n\
        \u2013 Nivel ALTO: op.acc.3 + R1.\nRefuerzo R1-Segregaci\xF3n rigurosa.\n\u2013\
        \ [op.acc.3.r1.1] Siempre que sea posible, la misma persona no aunar\xE1 funciones\
        \ de configuraci\xF3n y mantenimiento del sistema.\n\u2013 [op.acc.3.r1.2]\
        \ La misma persona no puede aunar funciones de auditor\xEDa o supervisi\xF3\
        n con cualquier otra funci\xF3n.\nRefuerzo R2-Privilegios de auditor\xEDa.\n\
        \u2013 [op.acc.3.r2.1] Existir\xE1n cuentas con privilegios de auditor\xED\
        a estrictamente controladas y personalizadas.\nRefuerzo R3-Acceso a la informaci\xF3\
        n de seguridad.\n\u2013 [op.acc.3.r3.1] El acceso a la informaci\xF3n de seguridad\
        \ del sistema estar\xE1 permitido \xFAnicamente a los administradores de seguridad/sistema\
        \ autorizados, utilizando los mecanismos de acceso imprescindibles (consola,\
        \ interfaz web, acceso remoto, etc.).\nP\xE1ginas 40-41"
      implementation_groups:
      - MEDIO
      - ' ALTO'
      - C
      - I
      - T
      - A
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.acc.3.2
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.acc.3
      ref_id: op.acc.3.2
      description: "Siempre que sea posible, las personas que autorizan y controlan\
        \ el uso ser\xE1n distintas."
      annotation: "Aplicaci\xF3n de la medida (por confidencialidad, integridad, trazabilidad\
        \ y autenticidad).\n\u2013 Nivel BAJO: no aplica.\n\u2013 Nivel MEDIO: op.acc.3.\n\
        \u2013 Nivel ALTO: op.acc.3 + R1.\nRefuerzo R1-Segregaci\xF3n rigurosa.\n\u2013\
        \ [op.acc.3.r1.1] Siempre que sea posible, la misma persona no aunar\xE1 funciones\
        \ de configuraci\xF3n y mantenimiento del sistema.\n\u2013 [op.acc.3.r1.2]\
        \ La misma persona no puede aunar funciones de auditor\xEDa o supervisi\xF3\
        n con cualquier otra funci\xF3n.\nRefuerzo R2-Privilegios de auditor\xEDa.\n\
        \u2013 [op.acc.3.r2.1] Existir\xE1n cuentas con privilegios de auditor\xED\
        a estrictamente controladas y personalizadas.\nRefuerzo R3-Acceso a la informaci\xF3\
        n de seguridad.\n\u2013 [op.acc.3.r3.1] El acceso a la informaci\xF3n de seguridad\
        \ del sistema estar\xE1 permitido \xFAnicamente a los administradores de seguridad/sistema\
        \ autorizados, utilizando los mecanismos de acceso imprescindibles (consola,\
        \ interfaz web, acceso remoto, etc.).\nP\xE1ginas 40-41"
      implementation_groups:
      - MEDIO
      - ' ALTO'
      - C
      - I
      - T
      - A
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.acc.4
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.acc
      ref_id: op.acc.4
      name: "Proceso de gesti\xF3n de derechos de acceso "
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node389
      assessable: false
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.acc.4
      description: "Los derechos de acceso de cada entidad, usuario o proceso se limitar\xE1\
        n atendiendo a los siguientes principios:"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.acc.4.1
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node389
      ref_id: op.acc.4.1
      description: "Todo acceso estar\xE1 prohibido, salvo autorizaci\xF3n expresa."
      annotation: "Aplicaci\xF3n de la medida (por confidencialidad, integridad, trazabilidad\
        \ y autenticidad).\nNivel BAJO: op.acc.4.\nNivel MEDIO: op.acc.4.\nNivel ALTO:\
        \ op.acc.4.\nP\xE1gina 41"
      implementation_groups:
      - BAJO
      - MEDIO
      - ' ALTO'
      - C
      - I
      - T
      - A
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.acc.4.2
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node389
      ref_id: op.acc.4.2
      description: "M\xEDnimo privilegio: los privilegios de cada entidad, usuario\
        \ o proceso se reducir\xE1n al m\xEDnimo imprescindible para cumplir sus obligaciones\
        \ o funciones."
      annotation: "Aplicaci\xF3n de la medida (por confidencialidad, integridad, trazabilidad\
        \ y autenticidad).\nNivel BAJO: op.acc.4.\nNivel MEDIO: op.acc.4.\nNivel ALTO:\
        \ op.acc.4.\nP\xE1gina 41"
      implementation_groups:
      - BAJO
      - MEDIO
      - ' ALTO'
      - C
      - I
      - T
      - A
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.acc.4.3
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node389
      ref_id: op.acc.4.3
      description: "Necesidad de conocer y responsabilidad de compartir: los privilegios\
        \ se asignar\xE1n de forma que las entidades, usuarios o procesos s\xF3lo\
        \ acceder\xE1n al conocimiento de aquella informaci\xF3n requerida para cumplir\
        \ sus obligaciones o funciones. La informaci\xF3n es patrimonio del organismo\
        \ y toda aquella que resulte necesaria para el usuario estar\xE1 a su disposici\xF3\
        n."
      annotation: "Aplicaci\xF3n de la medida (por confidencialidad, integridad, trazabilidad\
        \ y autenticidad).\nNivel BAJO: op.acc.4.\nNivel MEDIO: op.acc.4.\nNivel ALTO:\
        \ op.acc.4.\nP\xE1gina 41"
      implementation_groups:
      - BAJO
      - MEDIO
      - ' ALTO'
      - C
      - I
      - T
      - A
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.acc.4.4
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node389
      ref_id: op.acc.4.4
      description: "Capacidad de autorizar: Exclusivamente el personal con competencia\
        \ para ello podr\xE1 conceder, alterar o anular la autorizaci\xF3n de acceso\
        \ a los recursos, conforme a los criterios establecidos por su responsable.\
        \ Los permisos de acceso se revisar\xE1n de forma peri\xF3dica."
      annotation: "Aplicaci\xF3n de la medida (por confidencialidad, integridad, trazabilidad\
        \ y autenticidad).\nNivel BAJO: op.acc.4.\nNivel MEDIO: op.acc.4.\nNivel ALTO:\
        \ op.acc.4.\nP\xE1gina 41"
      implementation_groups:
      - BAJO
      - MEDIO
      - ' ALTO'
      - C
      - I
      - T
      - A
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.acc.4.5
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node389
      ref_id: op.acc.4.5
      description: "Se establecer\xE1 una pol\xEDtica espec\xEDfica de acceso remoto,\
        \ requiri\xE9ndose autorizaci\xF3n expresa."
      annotation: "Aplicaci\xF3n de la medida (por confidencialidad, integridad, trazabilidad\
        \ y autenticidad).\nNivel BAJO: op.acc.4.\nNivel MEDIO: op.acc.4.\nNivel ALTO:\
        \ op.acc.4.\nP\xE1gina 41"
      implementation_groups:
      - BAJO
      - MEDIO
      - ' ALTO'
      - C
      - I
      - T
      - A
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.acc.5
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.acc
      ref_id: op.acc.5
      name: "Mecanismo de autenticaci\xF3n (usuarios externos)"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node396
      assessable: false
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.acc.5
      description: "Referente a usuarios que no son usuarios de la organizaci\xF3\
        n. Las gu\xEDas CCN-STIC desarrollar\xE1n los mecanismos y calidades exigibles\
        \ a cada tipo de factor de autenticaci\xF3n en funci\xF3n de los niveles de\
        \ seguridad requeridos por el sistema de informaci\xF3n el que se accede y\
        \ los privilegios concedidos al usuario."
      annotation: "Aplicaci\xF3n de la medida (por confidencialidad, integridad, trazabilidad\
        \ y autenticidad).\n\u2013 Nivel BAJO: op.acc.5 + [R1 o R2 o R3 o R4].\n\u2013\
        \ Nivel MEDIO: op.acc.5 + [R2 o R3 o R4] + R5.\n\u2013 Nivel ALTO: op.acc.5\
        \ + [R2 o R3 o R4] + R5.\nRefuerzo R1-Contrase\xF1as.\n\u2013 [op.acc.5.r1.1]\
        \ Se emplear\xE1 una contrase\xF1a como mecanismo de autenticaci\xF3n.\n\u2013\
        \ [op.acc.5.r1.2] Se impondr\xE1n normas de complejidad m\xEDnima y robustez\
        \ frente a ataques de adivinaci\xF3n (ver gu\xEDas CCN-STIC).\nRefuerzo R2-Contrase\xF1\
        a + OTP.\n\u2013 [op.acc.5.r2.1] Se requerir\xE1 una contrase\xF1a de un solo\
        \ uso (OTP, en ingl\xE9s) como complemento a la contrase\xF1a de usuario.\n\
        Refuerzo R3-Certificados.\n\u2013 [op.acc.5.r3.1] Se emplear\xE1n certificados\
        \ cualificados como mecanismo de autenticaci\xF3n.\n\u2013 [op.acc.5.r3.2]\
        \ El uso del certificado estar\xE1 protegido por un segundo factor, del tipo\
        \ PIN o biom\xE9trico.\n\u2013 [op.acc.5.r3.3] Las credenciales utilizadas\
        \ deber\xE1n haber sido obtenidas tras un registro previo presencial, o bien\
        \ telem\xE1tico, usando un certificado electr\xF3nico cualificado.\nRefuerzo\
        \ R4-Certificados en dispositivo f\xEDsico.\n\u2013 [op.acc.5.r4.1] Se emplear\xE1\
        n certificados cualificados como mecanismo de autenticaci\xF3n, en soporte\
        \ f\xEDsico (tarjeta o similar) usando algoritmos, par\xE1metros y dispositivos\
        \ autorizados por el CCN.\n\u2013 [op.acc.5.r4.2] El uso del certificado estar\xE1\
        \ protegido por un segundo factor, del tipo PIN o biom\xE9trico.\n\u2013 [op.acc.5.r4.3]\
        \ Las credenciales utilizadas deber\xE1n haber sido obtenidas tras un registro\
        \ previo presencial, o bien telem\xE1tico, usando certificado electr\xF3nico\
        \ cualificado.\nRefuerzo R5-Registro.\n\u2013 [op.acc.5.r5.1] Se registrar\xE1\
        n los accesos con \xE9xito y los fallidos.\n\u2013 [op.acc.5.r5.2] Se informar\xE1\
        \ al usuario del \xFAltimo acceso efectuado con su identidad.\nRefuerzo R6-Limitaci\xF3\
        n de la ventana de acceso.\n\u2013 [op.acc.5.r6.1] Se definir\xE1n aquellos\
        \ puntos en los que el sistema requerir\xE1 una renovaci\xF3n de la autenticaci\xF3\
        n del usuario, mediante identificaci\xF3n singular, no bastando con la sesi\xF3\
        n establecida.\nRefuerzo R7-Suspensi\xF3n por no utilizaci\xF3n.\n\u2013 [op.acc.5.r7.1]\
        \ Las credenciales se suspender\xE1n tras un periodo definido de no utilizaci\xF3\
        n.\nP\xE1ginas 42-43"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.acc.5.1
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node396
      ref_id: op.acc.5.1
      description: "Antes de proporcionar las credenciales de autenticaci\xF3n a las\
        \ entidades, usuarios o procesos, estos deber\xE1n haberse identificado y\
        \ registrado de manera fidedigna ante el sistema o ante un Prestador Cualificado\
        \ de Servicios de Confianza o un proveedor de identidad electr\xF3nica reconocido\
        \ por las administraciones p\xFAblicas, de conformidad con lo dispuesto en\
        \ la Ley 39/2015, de 1 de octubre."
      annotation: "Aplicaci\xF3n de la medida (por confidencialidad, integridad, trazabilidad\
        \ y autenticidad).\n\u2013 Nivel BAJO: op.acc.5 + [R1 o R2 o R3 o R4].\n\u2013\
        \ Nivel MEDIO: op.acc.5 + [R2 o R3 o R4] + R5.\n\u2013 Nivel ALTO: op.acc.5\
        \ + [R2 o R3 o R4] + R5.\nRefuerzo R1-Contrase\xF1as.\n\u2013 [op.acc.5.r1.1]\
        \ Se emplear\xE1 una contrase\xF1a como mecanismo de autenticaci\xF3n.\n\u2013\
        \ [op.acc.5.r1.2] Se impondr\xE1n normas de complejidad m\xEDnima y robustez\
        \ frente a ataques de adivinaci\xF3n (ver gu\xEDas CCN-STIC).\nRefuerzo R2-Contrase\xF1\
        a + OTP.\n\u2013 [op.acc.5.r2.1] Se requerir\xE1 una contrase\xF1a de un solo\
        \ uso (OTP, en ingl\xE9s) como complemento a la contrase\xF1a de usuario.\n\
        Refuerzo R3-Certificados.\n\u2013 [op.acc.5.r3.1] Se emplear\xE1n certificados\
        \ cualificados como mecanismo de autenticaci\xF3n.\n\u2013 [op.acc.5.r3.2]\
        \ El uso del certificado estar\xE1 protegido por un segundo factor, del tipo\
        \ PIN o biom\xE9trico.\n\u2013 [op.acc.5.r3.3] Las credenciales utilizadas\
        \ deber\xE1n haber sido obtenidas tras un registro previo presencial, o bien\
        \ telem\xE1tico, usando un certificado electr\xF3nico cualificado.\nRefuerzo\
        \ R4-Certificados en dispositivo f\xEDsico.\n\u2013 [op.acc.5.r4.1] Se emplear\xE1\
        n certificados cualificados como mecanismo de autenticaci\xF3n, en soporte\
        \ f\xEDsico (tarjeta o similar) usando algoritmos, par\xE1metros y dispositivos\
        \ autorizados por el CCN.\n\u2013 [op.acc.5.r4.2] El uso del certificado estar\xE1\
        \ protegido por un segundo factor, del tipo PIN o biom\xE9trico.\n\u2013 [op.acc.5.r4.3]\
        \ Las credenciales utilizadas deber\xE1n haber sido obtenidas tras un registro\
        \ previo presencial, o bien telem\xE1tico, usando certificado electr\xF3nico\
        \ cualificado.\nRefuerzo R5-Registro.\n\u2013 [op.acc.5.r5.1] Se registrar\xE1\
        n los accesos con \xE9xito y los fallidos.\n\u2013 [op.acc.5.r5.2] Se informar\xE1\
        \ al usuario del \xFAltimo acceso efectuado con su identidad.\nRefuerzo R6-Limitaci\xF3\
        n de la ventana de acceso.\n\u2013 [op.acc.5.r6.1] Se definir\xE1n aquellos\
        \ puntos en los que el sistema requerir\xE1 una renovaci\xF3n de la autenticaci\xF3\
        n del usuario, mediante identificaci\xF3n singular, no bastando con la sesi\xF3\
        n establecida.\nRefuerzo R7-Suspensi\xF3n por no utilizaci\xF3n.\n\u2013 [op.acc.5.r7.1]\
        \ Las credenciales se suspender\xE1n tras un periodo definido de no utilizaci\xF3\
        n.\nP\xE1ginas 42-43"
      implementation_groups:
      - BAJO
      - MEDIO
      - ' ALTO'
      - C
      - I
      - T
      - A
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.acc.5.2
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node396
      ref_id: op.acc.5.2
      description: "Antes de activar el mecanismo de autenticaci\xF3n, el usuario\
        \ reconocer\xE1 que las ha recibido y que conoce y acepta las obligaciones\
        \ que implica su tenencia, en particular, el deber de custodia diligente,\
        \ la protecci\xF3n de su confidencialidad y el deber de notificaci\xF3n inmediata\
        \ en caso de p\xE9rdida"
      annotation: "Aplicaci\xF3n de la medida (por confidencialidad, integridad, trazabilidad\
        \ y autenticidad).\n\u2013 Nivel BAJO: op.acc.5 + [R1 o R2 o R3 o R4].\n\u2013\
        \ Nivel MEDIO: op.acc.5 + [R2 o R3 o R4] + R5.\n\u2013 Nivel ALTO: op.acc.5\
        \ + [R2 o R3 o R4] + R5.\nRefuerzo R1-Contrase\xF1as.\n\u2013 [op.acc.5.r1.1]\
        \ Se emplear\xE1 una contrase\xF1a como mecanismo de autenticaci\xF3n.\n\u2013\
        \ [op.acc.5.r1.2] Se impondr\xE1n normas de complejidad m\xEDnima y robustez\
        \ frente a ataques de adivinaci\xF3n (ver gu\xEDas CCN-STIC).\nRefuerzo R2-Contrase\xF1\
        a + OTP.\n\u2013 [op.acc.5.r2.1] Se requerir\xE1 una contrase\xF1a de un solo\
        \ uso (OTP, en ingl\xE9s) como complemento a la contrase\xF1a de usuario.\n\
        Refuerzo R3-Certificados.\n\u2013 [op.acc.5.r3.1] Se emplear\xE1n certificados\
        \ cualificados como mecanismo de autenticaci\xF3n.\n\u2013 [op.acc.5.r3.2]\
        \ El uso del certificado estar\xE1 protegido por un segundo factor, del tipo\
        \ PIN o biom\xE9trico.\n\u2013 [op.acc.5.r3.3] Las credenciales utilizadas\
        \ deber\xE1n haber sido obtenidas tras un registro previo presencial, o bien\
        \ telem\xE1tico, usando un certificado electr\xF3nico cualificado.\nRefuerzo\
        \ R4-Certificados en dispositivo f\xEDsico.\n\u2013 [op.acc.5.r4.1] Se emplear\xE1\
        n certificados cualificados como mecanismo de autenticaci\xF3n, en soporte\
        \ f\xEDsico (tarjeta o similar) usando algoritmos, par\xE1metros y dispositivos\
        \ autorizados por el CCN.\n\u2013 [op.acc.5.r4.2] El uso del certificado estar\xE1\
        \ protegido por un segundo factor, del tipo PIN o biom\xE9trico.\n\u2013 [op.acc.5.r4.3]\
        \ Las credenciales utilizadas deber\xE1n haber sido obtenidas tras un registro\
        \ previo presencial, o bien telem\xE1tico, usando certificado electr\xF3nico\
        \ cualificado.\nRefuerzo R5-Registro.\n\u2013 [op.acc.5.r5.1] Se registrar\xE1\
        n los accesos con \xE9xito y los fallidos.\n\u2013 [op.acc.5.r5.2] Se informar\xE1\
        \ al usuario del \xFAltimo acceso efectuado con su identidad.\nRefuerzo R6-Limitaci\xF3\
        n de la ventana de acceso.\n\u2013 [op.acc.5.r6.1] Se definir\xE1n aquellos\
        \ puntos en los que el sistema requerir\xE1 una renovaci\xF3n de la autenticaci\xF3\
        n del usuario, mediante identificaci\xF3n singular, no bastando con la sesi\xF3\
        n establecida.\nRefuerzo R7-Suspensi\xF3n por no utilizaci\xF3n.\n\u2013 [op.acc.5.r7.1]\
        \ Las credenciales se suspender\xE1n tras un periodo definido de no utilizaci\xF3\
        n.\nP\xE1ginas 42-43"
      implementation_groups:
      - BAJO
      - MEDIO
      - ' ALTO'
      - C
      - I
      - T
      - A
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.acc.5.3
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node396
      ref_id: op.acc.5.3
      description: "Las credenciales estar\xE1n bajo el control exclusivo del usuario\
        \ y se activar\xE1n una vez est\xE9n bajo su control efectivo."
      annotation: "Aplicaci\xF3n de la medida (por confidencialidad, integridad, trazabilidad\
        \ y autenticidad).\n\u2013 Nivel BAJO: op.acc.5 + [R1 o R2 o R3 o R4].\n\u2013\
        \ Nivel MEDIO: op.acc.5 + [R2 o R3 o R4] + R5.\n\u2013 Nivel ALTO: op.acc.5\
        \ + [R2 o R3 o R4] + R5.\nRefuerzo R1-Contrase\xF1as.\n\u2013 [op.acc.5.r1.1]\
        \ Se emplear\xE1 una contrase\xF1a como mecanismo de autenticaci\xF3n.\n\u2013\
        \ [op.acc.5.r1.2] Se impondr\xE1n normas de complejidad m\xEDnima y robustez\
        \ frente a ataques de adivinaci\xF3n (ver gu\xEDas CCN-STIC).\nRefuerzo R2-Contrase\xF1\
        a + OTP.\n\u2013 [op.acc.5.r2.1] Se requerir\xE1 una contrase\xF1a de un solo\
        \ uso (OTP, en ingl\xE9s) como complemento a la contrase\xF1a de usuario.\n\
        Refuerzo R3-Certificados.\n\u2013 [op.acc.5.r3.1] Se emplear\xE1n certificados\
        \ cualificados como mecanismo de autenticaci\xF3n.\n\u2013 [op.acc.5.r3.2]\
        \ El uso del certificado estar\xE1 protegido por un segundo factor, del tipo\
        \ PIN o biom\xE9trico.\n\u2013 [op.acc.5.r3.3] Las credenciales utilizadas\
        \ deber\xE1n haber sido obtenidas tras un registro previo presencial, o bien\
        \ telem\xE1tico, usando un certificado electr\xF3nico cualificado.\nRefuerzo\
        \ R4-Certificados en dispositivo f\xEDsico.\n\u2013 [op.acc.5.r4.1] Se emplear\xE1\
        n certificados cualificados como mecanismo de autenticaci\xF3n, en soporte\
        \ f\xEDsico (tarjeta o similar) usando algoritmos, par\xE1metros y dispositivos\
        \ autorizados por el CCN.\n\u2013 [op.acc.5.r4.2] El uso del certificado estar\xE1\
        \ protegido por un segundo factor, del tipo PIN o biom\xE9trico.\n\u2013 [op.acc.5.r4.3]\
        \ Las credenciales utilizadas deber\xE1n haber sido obtenidas tras un registro\
        \ previo presencial, o bien telem\xE1tico, usando certificado electr\xF3nico\
        \ cualificado.\nRefuerzo R5-Registro.\n\u2013 [op.acc.5.r5.1] Se registrar\xE1\
        n los accesos con \xE9xito y los fallidos.\n\u2013 [op.acc.5.r5.2] Se informar\xE1\
        \ al usuario del \xFAltimo acceso efectuado con su identidad.\nRefuerzo R6-Limitaci\xF3\
        n de la ventana de acceso.\n\u2013 [op.acc.5.r6.1] Se definir\xE1n aquellos\
        \ puntos en los que el sistema requerir\xE1 una renovaci\xF3n de la autenticaci\xF3\
        n del usuario, mediante identificaci\xF3n singular, no bastando con la sesi\xF3\
        n establecida.\nRefuerzo R7-Suspensi\xF3n por no utilizaci\xF3n.\n\u2013 [op.acc.5.r7.1]\
        \ Las credenciales se suspender\xE1n tras un periodo definido de no utilizaci\xF3\
        n.\nP\xE1ginas 42-43"
      implementation_groups:
      - BAJO
      - MEDIO
      - ' ALTO'
      - C
      - I
      - T
      - A
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.acc.5.4
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node396
      ref_id: op.acc.5.4
      description: "Las credenciales se cambiar\xE1n con una periodicidad marcada\
        \ por la pol\xEDtica de seguridad de la organizaci\xF3n."
      annotation: "Aplicaci\xF3n de la medida (por confidencialidad, integridad, trazabilidad\
        \ y autenticidad).\n\u2013 Nivel BAJO: op.acc.5 + [R1 o R2 o R3 o R4].\n\u2013\
        \ Nivel MEDIO: op.acc.5 + [R2 o R3 o R4] + R5.\n\u2013 Nivel ALTO: op.acc.5\
        \ + [R2 o R3 o R4] + R5.\nRefuerzo R1-Contrase\xF1as.\n\u2013 [op.acc.5.r1.1]\
        \ Se emplear\xE1 una contrase\xF1a como mecanismo de autenticaci\xF3n.\n\u2013\
        \ [op.acc.5.r1.2] Se impondr\xE1n normas de complejidad m\xEDnima y robustez\
        \ frente a ataques de adivinaci\xF3n (ver gu\xEDas CCN-STIC).\nRefuerzo R2-Contrase\xF1\
        a + OTP.\n\u2013 [op.acc.5.r2.1] Se requerir\xE1 una contrase\xF1a de un solo\
        \ uso (OTP, en ingl\xE9s) como complemento a la contrase\xF1a de usuario.\n\
        Refuerzo R3-Certificados.\n\u2013 [op.acc.5.r3.1] Se emplear\xE1n certificados\
        \ cualificados como mecanismo de autenticaci\xF3n.\n\u2013 [op.acc.5.r3.2]\
        \ El uso del certificado estar\xE1 protegido por un segundo factor, del tipo\
        \ PIN o biom\xE9trico.\n\u2013 [op.acc.5.r3.3] Las credenciales utilizadas\
        \ deber\xE1n haber sido obtenidas tras un registro previo presencial, o bien\
        \ telem\xE1tico, usando un certificado electr\xF3nico cualificado.\nRefuerzo\
        \ R4-Certificados en dispositivo f\xEDsico.\n\u2013 [op.acc.5.r4.1] Se emplear\xE1\
        n certificados cualificados como mecanismo de autenticaci\xF3n, en soporte\
        \ f\xEDsico (tarjeta o similar) usando algoritmos, par\xE1metros y dispositivos\
        \ autorizados por el CCN.\n\u2013 [op.acc.5.r4.2] El uso del certificado estar\xE1\
        \ protegido por un segundo factor, del tipo PIN o biom\xE9trico.\n\u2013 [op.acc.5.r4.3]\
        \ Las credenciales utilizadas deber\xE1n haber sido obtenidas tras un registro\
        \ previo presencial, o bien telem\xE1tico, usando certificado electr\xF3nico\
        \ cualificado.\nRefuerzo R5-Registro.\n\u2013 [op.acc.5.r5.1] Se registrar\xE1\
        n los accesos con \xE9xito y los fallidos.\n\u2013 [op.acc.5.r5.2] Se informar\xE1\
        \ al usuario del \xFAltimo acceso efectuado con su identidad.\nRefuerzo R6-Limitaci\xF3\
        n de la ventana de acceso.\n\u2013 [op.acc.5.r6.1] Se definir\xE1n aquellos\
        \ puntos en los que el sistema requerir\xE1 una renovaci\xF3n de la autenticaci\xF3\
        n del usuario, mediante identificaci\xF3n singular, no bastando con la sesi\xF3\
        n establecida.\nRefuerzo R7-Suspensi\xF3n por no utilizaci\xF3n.\n\u2013 [op.acc.5.r7.1]\
        \ Las credenciales se suspender\xE1n tras un periodo definido de no utilizaci\xF3\
        n.\nP\xE1ginas 42-43"
      implementation_groups:
      - BAJO
      - MEDIO
      - ' ALTO'
      - C
      - I
      - T
      - A
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.acc.5.5
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node396
      ref_id: op.acc.5.5
      description: "Las credenciales ser\xE1n inhabilitadas -pudiendo ser regeneradas,\
        \ en su caso-, cuando conste o se sospeche su p\xE9rdida, compromiso o revelaci\xF3\
        n a entidades (personas, equipos o procesos) no autorizadas"
      annotation: "Aplicaci\xF3n de la medida (por confidencialidad, integridad, trazabilidad\
        \ y autenticidad).\n\u2013 Nivel BAJO: op.acc.5 + [R1 o R2 o R3 o R4].\n\u2013\
        \ Nivel MEDIO: op.acc.5 + [R2 o R3 o R4] + R5.\n\u2013 Nivel ALTO: op.acc.5\
        \ + [R2 o R3 o R4] + R5.\nRefuerzo R1-Contrase\xF1as.\n\u2013 [op.acc.5.r1.1]\
        \ Se emplear\xE1 una contrase\xF1a como mecanismo de autenticaci\xF3n.\n\u2013\
        \ [op.acc.5.r1.2] Se impondr\xE1n normas de complejidad m\xEDnima y robustez\
        \ frente a ataques de adivinaci\xF3n (ver gu\xEDas CCN-STIC).\nRefuerzo R2-Contrase\xF1\
        a + OTP.\n\u2013 [op.acc.5.r2.1] Se requerir\xE1 una contrase\xF1a de un solo\
        \ uso (OTP, en ingl\xE9s) como complemento a la contrase\xF1a de usuario.\n\
        Refuerzo R3-Certificados.\n\u2013 [op.acc.5.r3.1] Se emplear\xE1n certificados\
        \ cualificados como mecanismo de autenticaci\xF3n.\n\u2013 [op.acc.5.r3.2]\
        \ El uso del certificado estar\xE1 protegido por un segundo factor, del tipo\
        \ PIN o biom\xE9trico.\n\u2013 [op.acc.5.r3.3] Las credenciales utilizadas\
        \ deber\xE1n haber sido obtenidas tras un registro previo presencial, o bien\
        \ telem\xE1tico, usando un certificado electr\xF3nico cualificado.\nRefuerzo\
        \ R4-Certificados en dispositivo f\xEDsico.\n\u2013 [op.acc.5.r4.1] Se emplear\xE1\
        n certificados cualificados como mecanismo de autenticaci\xF3n, en soporte\
        \ f\xEDsico (tarjeta o similar) usando algoritmos, par\xE1metros y dispositivos\
        \ autorizados por el CCN.\n\u2013 [op.acc.5.r4.2] El uso del certificado estar\xE1\
        \ protegido por un segundo factor, del tipo PIN o biom\xE9trico.\n\u2013 [op.acc.5.r4.3]\
        \ Las credenciales utilizadas deber\xE1n haber sido obtenidas tras un registro\
        \ previo presencial, o bien telem\xE1tico, usando certificado electr\xF3nico\
        \ cualificado.\nRefuerzo R5-Registro.\n\u2013 [op.acc.5.r5.1] Se registrar\xE1\
        n los accesos con \xE9xito y los fallidos.\n\u2013 [op.acc.5.r5.2] Se informar\xE1\
        \ al usuario del \xFAltimo acceso efectuado con su identidad.\nRefuerzo R6-Limitaci\xF3\
        n de la ventana de acceso.\n\u2013 [op.acc.5.r6.1] Se definir\xE1n aquellos\
        \ puntos en los que el sistema requerir\xE1 una renovaci\xF3n de la autenticaci\xF3\
        n del usuario, mediante identificaci\xF3n singular, no bastando con la sesi\xF3\
        n establecida.\nRefuerzo R7-Suspensi\xF3n por no utilizaci\xF3n.\n\u2013 [op.acc.5.r7.1]\
        \ Las credenciales se suspender\xE1n tras un periodo definido de no utilizaci\xF3\
        n.\nP\xE1ginas 42-43"
      implementation_groups:
      - BAJO
      - MEDIO
      - ' ALTO'
      - C
      - I
      - T
      - A
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.acc.5.6
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node396
      ref_id: op.acc.5.6
      description: "Las credenciales ser\xE1n inhabilitadas cuando la entidad (persona,\
        \ equipo o proceso) que autentican termina su relaci\xF3n con el sistema."
      annotation: "Aplicaci\xF3n de la medida (por confidencialidad, integridad, trazabilidad\
        \ y autenticidad).\n\u2013 Nivel BAJO: op.acc.5 + [R1 o R2 o R3 o R4].\n\u2013\
        \ Nivel MEDIO: op.acc.5 + [R2 o R3 o R4] + R5.\n\u2013 Nivel ALTO: op.acc.5\
        \ + [R2 o R3 o R4] + R5.\nRefuerzo R1-Contrase\xF1as.\n\u2013 [op.acc.5.r1.1]\
        \ Se emplear\xE1 una contrase\xF1a como mecanismo de autenticaci\xF3n.\n\u2013\
        \ [op.acc.5.r1.2] Se impondr\xE1n normas de complejidad m\xEDnima y robustez\
        \ frente a ataques de adivinaci\xF3n (ver gu\xEDas CCN-STIC).\nRefuerzo R2-Contrase\xF1\
        a + OTP.\n\u2013 [op.acc.5.r2.1] Se requerir\xE1 una contrase\xF1a de un solo\
        \ uso (OTP, en ingl\xE9s) como complemento a la contrase\xF1a de usuario.\n\
        Refuerzo R3-Certificados.\n\u2013 [op.acc.5.r3.1] Se emplear\xE1n certificados\
        \ cualificados como mecanismo de autenticaci\xF3n.\n\u2013 [op.acc.5.r3.2]\
        \ El uso del certificado estar\xE1 protegido por un segundo factor, del tipo\
        \ PIN o biom\xE9trico.\n\u2013 [op.acc.5.r3.3] Las credenciales utilizadas\
        \ deber\xE1n haber sido obtenidas tras un registro previo presencial, o bien\
        \ telem\xE1tico, usando un certificado electr\xF3nico cualificado.\nRefuerzo\
        \ R4-Certificados en dispositivo f\xEDsico.\n\u2013 [op.acc.5.r4.1] Se emplear\xE1\
        n certificados cualificados como mecanismo de autenticaci\xF3n, en soporte\
        \ f\xEDsico (tarjeta o similar) usando algoritmos, par\xE1metros y dispositivos\
        \ autorizados por el CCN.\n\u2013 [op.acc.5.r4.2] El uso del certificado estar\xE1\
        \ protegido por un segundo factor, del tipo PIN o biom\xE9trico.\n\u2013 [op.acc.5.r4.3]\
        \ Las credenciales utilizadas deber\xE1n haber sido obtenidas tras un registro\
        \ previo presencial, o bien telem\xE1tico, usando certificado electr\xF3nico\
        \ cualificado.\nRefuerzo R5-Registro.\n\u2013 [op.acc.5.r5.1] Se registrar\xE1\
        n los accesos con \xE9xito y los fallidos.\n\u2013 [op.acc.5.r5.2] Se informar\xE1\
        \ al usuario del \xFAltimo acceso efectuado con su identidad.\nRefuerzo R6-Limitaci\xF3\
        n de la ventana de acceso.\n\u2013 [op.acc.5.r6.1] Se definir\xE1n aquellos\
        \ puntos en los que el sistema requerir\xE1 una renovaci\xF3n de la autenticaci\xF3\
        n del usuario, mediante identificaci\xF3n singular, no bastando con la sesi\xF3\
        n establecida.\nRefuerzo R7-Suspensi\xF3n por no utilizaci\xF3n.\n\u2013 [op.acc.5.r7.1]\
        \ Las credenciales se suspender\xE1n tras un periodo definido de no utilizaci\xF3\
        n.\nP\xE1ginas 42-43"
      implementation_groups:
      - BAJO
      - MEDIO
      - ' ALTO'
      - C
      - I
      - T
      - A
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.acc.5.7
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node396
      ref_id: op.acc.5.7
      description: "Antes de autorizar el acceso, la informaci\xF3n presentada por\
        \ el sistema ser\xE1 la m\xEDnima imprescindible para que el usuario se autentique,\
        \ evitando todo aquello que pueda, directa o indirectamente, revelar informaci\xF3\
        n sobre el sistema o la cuenta, sus caracter\xEDsticas, su operaci\xF3n o\
        \ su estado. Las credenciales solamente se validar\xE1n cuando se tengan todos\
        \ los datos necesarios y, si se rechaza, no se informar\xE1 del motivo del\
        \ rechazo."
      annotation: "Aplicaci\xF3n de la medida (por confidencialidad, integridad, trazabilidad\
        \ y autenticidad).\n\u2013 Nivel BAJO: op.acc.5 + [R1 o R2 o R3 o R4].\n\u2013\
        \ Nivel MEDIO: op.acc.5 + [R2 o R3 o R4] + R5.\n\u2013 Nivel ALTO: op.acc.5\
        \ + [R2 o R3 o R4] + R5.\nRefuerzo R1-Contrase\xF1as.\n\u2013 [op.acc.5.r1.1]\
        \ Se emplear\xE1 una contrase\xF1a como mecanismo de autenticaci\xF3n.\n\u2013\
        \ [op.acc.5.r1.2] Se impondr\xE1n normas de complejidad m\xEDnima y robustez\
        \ frente a ataques de adivinaci\xF3n (ver gu\xEDas CCN-STIC).\nRefuerzo R2-Contrase\xF1\
        a + OTP.\n\u2013 [op.acc.5.r2.1] Se requerir\xE1 una contrase\xF1a de un solo\
        \ uso (OTP, en ingl\xE9s) como complemento a la contrase\xF1a de usuario.\n\
        Refuerzo R3-Certificados.\n\u2013 [op.acc.5.r3.1] Se emplear\xE1n certificados\
        \ cualificados como mecanismo de autenticaci\xF3n.\n\u2013 [op.acc.5.r3.2]\
        \ El uso del certificado estar\xE1 protegido por un segundo factor, del tipo\
        \ PIN o biom\xE9trico.\n\u2013 [op.acc.5.r3.3] Las credenciales utilizadas\
        \ deber\xE1n haber sido obtenidas tras un registro previo presencial, o bien\
        \ telem\xE1tico, usando un certificado electr\xF3nico cualificado.\nRefuerzo\
        \ R4-Certificados en dispositivo f\xEDsico.\n\u2013 [op.acc.5.r4.1] Se emplear\xE1\
        n certificados cualificados como mecanismo de autenticaci\xF3n, en soporte\
        \ f\xEDsico (tarjeta o similar) usando algoritmos, par\xE1metros y dispositivos\
        \ autorizados por el CCN.\n\u2013 [op.acc.5.r4.2] El uso del certificado estar\xE1\
        \ protegido por un segundo factor, del tipo PIN o biom\xE9trico.\n\u2013 [op.acc.5.r4.3]\
        \ Las credenciales utilizadas deber\xE1n haber sido obtenidas tras un registro\
        \ previo presencial, o bien telem\xE1tico, usando certificado electr\xF3nico\
        \ cualificado.\nRefuerzo R5-Registro.\n\u2013 [op.acc.5.r5.1] Se registrar\xE1\
        n los accesos con \xE9xito y los fallidos.\n\u2013 [op.acc.5.r5.2] Se informar\xE1\
        \ al usuario del \xFAltimo acceso efectuado con su identidad.\nRefuerzo R6-Limitaci\xF3\
        n de la ventana de acceso.\n\u2013 [op.acc.5.r6.1] Se definir\xE1n aquellos\
        \ puntos en los que el sistema requerir\xE1 una renovaci\xF3n de la autenticaci\xF3\
        n del usuario, mediante identificaci\xF3n singular, no bastando con la sesi\xF3\
        n establecida.\nRefuerzo R7-Suspensi\xF3n por no utilizaci\xF3n.\n\u2013 [op.acc.5.r7.1]\
        \ Las credenciales se suspender\xE1n tras un periodo definido de no utilizaci\xF3\
        n.\nP\xE1ginas 42-43"
      implementation_groups:
      - BAJO
      - MEDIO
      - ' ALTO'
      - C
      - I
      - T
      - A
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.acc.5.8
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node396
      ref_id: op.acc.5.8
      description: "El n\xFAmero de intentos permitidos ser\xE1 limitado, bloqueando\
        \ la oportunidad de acceso una vez superado tal n\xFAmero, y requiriendo una\
        \ intervenci\xF3n espec\xEDfica para reactivar la cuenta, que se describir\xE1\
        \ en la documentaci\xF3n."
      annotation: "Aplicaci\xF3n de la medida (por confidencialidad, integridad, trazabilidad\
        \ y autenticidad).\n\u2013 Nivel BAJO: op.acc.5 + [R1 o R2 o R3 o R4].\n\u2013\
        \ Nivel MEDIO: op.acc.5 + [R2 o R3 o R4] + R5.\n\u2013 Nivel ALTO: op.acc.5\
        \ + [R2 o R3 o R4] + R5.\nRefuerzo R1-Contrase\xF1as.\n\u2013 [op.acc.5.r1.1]\
        \ Se emplear\xE1 una contrase\xF1a como mecanismo de autenticaci\xF3n.\n\u2013\
        \ [op.acc.5.r1.2] Se impondr\xE1n normas de complejidad m\xEDnima y robustez\
        \ frente a ataques de adivinaci\xF3n (ver gu\xEDas CCN-STIC).\nRefuerzo R2-Contrase\xF1\
        a + OTP.\n\u2013 [op.acc.5.r2.1] Se requerir\xE1 una contrase\xF1a de un solo\
        \ uso (OTP, en ingl\xE9s) como complemento a la contrase\xF1a de usuario.\n\
        Refuerzo R3-Certificados.\n\u2013 [op.acc.5.r3.1] Se emplear\xE1n certificados\
        \ cualificados como mecanismo de autenticaci\xF3n.\n\u2013 [op.acc.5.r3.2]\
        \ El uso del certificado estar\xE1 protegido por un segundo factor, del tipo\
        \ PIN o biom\xE9trico.\n\u2013 [op.acc.5.r3.3] Las credenciales utilizadas\
        \ deber\xE1n haber sido obtenidas tras un registro previo presencial, o bien\
        \ telem\xE1tico, usando un certificado electr\xF3nico cualificado.\nRefuerzo\
        \ R4-Certificados en dispositivo f\xEDsico.\n\u2013 [op.acc.5.r4.1] Se emplear\xE1\
        n certificados cualificados como mecanismo de autenticaci\xF3n, en soporte\
        \ f\xEDsico (tarjeta o similar) usando algoritmos, par\xE1metros y dispositivos\
        \ autorizados por el CCN.\n\u2013 [op.acc.5.r4.2] El uso del certificado estar\xE1\
        \ protegido por un segundo factor, del tipo PIN o biom\xE9trico.\n\u2013 [op.acc.5.r4.3]\
        \ Las credenciales utilizadas deber\xE1n haber sido obtenidas tras un registro\
        \ previo presencial, o bien telem\xE1tico, usando certificado electr\xF3nico\
        \ cualificado.\nRefuerzo R5-Registro.\n\u2013 [op.acc.5.r5.1] Se registrar\xE1\
        n los accesos con \xE9xito y los fallidos.\n\u2013 [op.acc.5.r5.2] Se informar\xE1\
        \ al usuario del \xFAltimo acceso efectuado con su identidad.\nRefuerzo R6-Limitaci\xF3\
        n de la ventana de acceso.\n\u2013 [op.acc.5.r6.1] Se definir\xE1n aquellos\
        \ puntos en los que el sistema requerir\xE1 una renovaci\xF3n de la autenticaci\xF3\
        n del usuario, mediante identificaci\xF3n singular, no bastando con la sesi\xF3\
        n establecida.\nRefuerzo R7-Suspensi\xF3n por no utilizaci\xF3n.\n\u2013 [op.acc.5.r7.1]\
        \ Las credenciales se suspender\xE1n tras un periodo definido de no utilizaci\xF3\
        n.\nP\xE1ginas 42-43"
      implementation_groups:
      - BAJO
      - MEDIO
      - ' ALTO'
      - C
      - I
      - T
      - A
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.acc.5.9
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node396
      ref_id: op.acc.5.9
      description: "El sistema informar\xE1 al usuario de sus derechos u obligaciones\
        \ inmediatamente despu\xE9s de obtener el acceso."
      annotation: "Aplicaci\xF3n de la medida (por confidencialidad, integridad, trazabilidad\
        \ y autenticidad).\n\u2013 Nivel BAJO: op.acc.5 + [R1 o R2 o R3 o R4].\n\u2013\
        \ Nivel MEDIO: op.acc.5 + [R2 o R3 o R4] + R5.\n\u2013 Nivel ALTO: op.acc.5\
        \ + [R2 o R3 o R4] + R5.\nRefuerzo R1-Contrase\xF1as.\n\u2013 [op.acc.5.r1.1]\
        \ Se emplear\xE1 una contrase\xF1a como mecanismo de autenticaci\xF3n.\n\u2013\
        \ [op.acc.5.r1.2] Se impondr\xE1n normas de complejidad m\xEDnima y robustez\
        \ frente a ataques de adivinaci\xF3n (ver gu\xEDas CCN-STIC).\nRefuerzo R2-Contrase\xF1\
        a + OTP.\n\u2013 [op.acc.5.r2.1] Se requerir\xE1 una contrase\xF1a de un solo\
        \ uso (OTP, en ingl\xE9s) como complemento a la contrase\xF1a de usuario.\n\
        Refuerzo R3-Certificados.\n\u2013 [op.acc.5.r3.1] Se emplear\xE1n certificados\
        \ cualificados como mecanismo de autenticaci\xF3n.\n\u2013 [op.acc.5.r3.2]\
        \ El uso del certificado estar\xE1 protegido por un segundo factor, del tipo\
        \ PIN o biom\xE9trico.\n\u2013 [op.acc.5.r3.3] Las credenciales utilizadas\
        \ deber\xE1n haber sido obtenidas tras un registro previo presencial, o bien\
        \ telem\xE1tico, usando un certificado electr\xF3nico cualificado.\nRefuerzo\
        \ R4-Certificados en dispositivo f\xEDsico.\n\u2013 [op.acc.5.r4.1] Se emplear\xE1\
        n certificados cualificados como mecanismo de autenticaci\xF3n, en soporte\
        \ f\xEDsico (tarjeta o similar) usando algoritmos, par\xE1metros y dispositivos\
        \ autorizados por el CCN.\n\u2013 [op.acc.5.r4.2] El uso del certificado estar\xE1\
        \ protegido por un segundo factor, del tipo PIN o biom\xE9trico.\n\u2013 [op.acc.5.r4.3]\
        \ Las credenciales utilizadas deber\xE1n haber sido obtenidas tras un registro\
        \ previo presencial, o bien telem\xE1tico, usando certificado electr\xF3nico\
        \ cualificado.\nRefuerzo R5-Registro.\n\u2013 [op.acc.5.r5.1] Se registrar\xE1\
        n los accesos con \xE9xito y los fallidos.\n\u2013 [op.acc.5.r5.2] Se informar\xE1\
        \ al usuario del \xFAltimo acceso efectuado con su identidad.\nRefuerzo R6-Limitaci\xF3\
        n de la ventana de acceso.\n\u2013 [op.acc.5.r6.1] Se definir\xE1n aquellos\
        \ puntos en los que el sistema requerir\xE1 una renovaci\xF3n de la autenticaci\xF3\
        n del usuario, mediante identificaci\xF3n singular, no bastando con la sesi\xF3\
        n establecida.\nRefuerzo R7-Suspensi\xF3n por no utilizaci\xF3n.\n\u2013 [op.acc.5.r7.1]\
        \ Las credenciales se suspender\xE1n tras un periodo definido de no utilizaci\xF3\
        n.\nP\xE1ginas 42-43"
      implementation_groups:
      - BAJO
      - MEDIO
      - ' ALTO'
      - C
      - I
      - T
      - A
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.acc.6
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.acc
      ref_id: op.acc.6
      name: "Mecanismo de autenticaci\xF3n (usuarios de la organizaci\xF3n)"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node407
      assessable: false
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.acc.6
      description: "Esta medida se refiere a personal del organismo, propio o contratado,\
        \ estable o circunstancial, que pueda tener acceso a informaci\xF3n contenida\
        \ en el sistema. Las gu\xEDas CCN-STIC desarrollar\xE1n los mecanismos y calidades\
        \ exigibles a cada tipo de factor de autenticaci\xF3n, en funci\xF3n de los\
        \ niveles de seguridad requeridos por el sistema de informaci\xF3n el que\
        \ se accede y los privilegios concedidos al usuario."
      annotation: "Aplicaci\xF3n de la medida (por confidencialidad, integridad, trazabilidad\
        \ y autenticidad).\n\u2013 Nivel BAJO: op.acc.6 + [R1 o R2 o R3 o R4] + R8\
        \ + R9.\n\u2013 Nivel MEDIO: op.acc.6 + [R1 o R2 o R3 o R4] + R5 + R8 + R9.\n\
        \u2013 Nivel ALTO: op.acc.6 + [R1 o R2 o R3 o R4] + R5 + R6 + R7 + R8 + R9.\n\
        Refuerzo R1-Contrase\xF1as.\n\u2013 [op.acc.6.r1.1] Se emplear\xE1 una contrase\xF1\
        a como mecanismo de autenticaci\xF3n cuando el acceso se realiza desde zonas\
        \ controladas y sin atravesar zonas no controladas (v\xE9ase refuerzo R8).\n\
        \u2013 [op.acc.6.r1.2] Se impondr\xE1n normas de complejidad m\xEDnima y robustez\
        \ frente a ataques de adivinaci\xF3n (ver gu\xEDas CCN-STIC).\nRefuerzo R2-Contrase\xF1\
        a + otro factor de autenticaci\xF3n.\n\u2013 [op.acc.6.r2.1] Se requerir\xE1\
        \ un segundo factor tal como \xABalgo que se tiene\xBB, es decir, un dispositivo,\
        \ una contrase\xF1a de un solo uso (OTP, en ingl\xE9s) como complemento a\
        \ la contrase\xF1a de usuario, o \xABalgo que se es\xBB.\nRefuerzo R3-Certificados.\n\
        \u2013 [op.acc.6.r3.1] Se emplear\xE1n certificados cualificados como mecanismo\
        \ de autenticaci\xF3n.\n\u2013 [op.acc.6.r3.2] El uso del certificado estar\xE1\
        \ protegido por un segundo factor, del tipo PIN o biom\xE9trico.\nRefuerzo\
        \ R4-Certificados en dispositivo f\xEDsico.\n\u2013 [op.acc.6.r4.1] Se emplear\xE1\
        n certificados cualificados como mecanismo de autenticaci\xF3n, en soporte\
        \ f\xEDsico (tarjeta o similar) usando algoritmos, par\xE1metros y dispositivos\
        \ autorizados por el CCN.\n\u2013 [op.acc.6.r4.2] El uso del certificado estar\xE1\
        \ protegido por un segundo factor, del tipo PIN o biom\xE9trico.\nRefuerzo\
        \ R5-Registro.\n\u2013 [op.acc.6.r5.1] Se registrar\xE1n los accesos con \xE9\
        xito y los fallidos.\n\u2013 [op.acc.6.r5.2] Se informar\xE1 al usuario del\
        \ \xFAltimo acceso efectuado con su identidad.\nRefuerzo R6-Limitaci\xF3n\
        \ de la ventana de acceso.\n\u2013 [op.acc.6.r6.1] Se definir\xE1n aquellos\
        \ puntos en los que el sistema requerir\xE1 una renovaci\xF3n de la autenticaci\xF3\
        n del usuario, mediante identificaci\xF3n singular, no bastando con la sesi\xF3\
        n establecida.\nRefuerzo R7-Suspensi\xF3n por no utilizaci\xF3n.\n\u2013 [op.acc.6.r7.1]\
        \ Las credenciales se suspender\xE1n tras un periodo definido de no utilizaci\xF3\
        n.\nRefuerzo R8-Doble factor para acceso desde o a trav\xE9s de zonas no controladas.\n\
        Se denomina \xABzona controlada\xBB aquella que no es de acceso p\xFAblico,\
        \ requiri\xE9ndose que el usuario, antes de tener acceso al equipo, se haya\
        \ autenticado previamente de alguna forma (control de acceso a las instalaciones),\
        \ diferente del mecanismo de autenticaci\xF3n l\xF3gica frente al sistema.\
        \ Un ejemplo de zona no controlada es Internet.\n\u2013 [op.acc.6.r8.1] Para\
        \ el acceso desde o a trav\xE9s de zonas no controladas se requerir\xE1 un\
        \ doble factor de autenticaci\xF3n: R2, R3 o R4.\nRefuerzo R9-Acceso remoto\
        \ (todos los niveles).\n\u2013 [op.acc.6.r9.1] Ser\xE1 de aplicaci\xF3n la\
        \ ITS de Interconexi\xF3n de sistemas de informaci\xF3n.\n\u2013 [op.acc.6.r9.2]\
        \ El acceso remoto deber\xE1 considerar los siguientes aspectos:\na) Ser autorizado\
        \ por la autoridad correspondiente.\nb) El tr\xE1fico deber\xE1 ser cifrado.\n\
        c) Si la utilizaci\xF3n no se produce de manera constante, el acceso remoto\
        \ deber\xE1 encontrarse inhabilitado y habilitarse \xFAnicamente cuando sea\
        \ necesario.\nd) Deber\xE1n recogerse registros de auditor\xEDa de este tipo\
        \ de conexiones.\nP\xE1ginas 44-45"
      implementation_groups:
      - BAJO
      - MEDIO
      - ' ALTO'
      - C
      - I
      - T
      - A
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.acc.6.1
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node407
      ref_id: op.acc.6.1
      description: "Antes de proporcionar las credenciales a los usuarios, estos deber\xE1\
        n conocer y aceptar la pol\xEDtica de seguridad del organismo en los aspectos\
        \ que les afecten."
      annotation: "Aplicaci\xF3n de la medida (por confidencialidad, integridad, trazabilidad\
        \ y autenticidad).\n\u2013 Nivel BAJO: op.acc.6 + [R1 o R2 o R3 o R4] + R8\
        \ + R9.\n\u2013 Nivel MEDIO: op.acc.6 + [R1 o R2 o R3 o R4] + R5 + R8 + R9.\n\
        \u2013 Nivel ALTO: op.acc.6 + [R1 o R2 o R3 o R4] + R5 + R6 + R7 + R8 + R9.\n\
        Refuerzo R1-Contrase\xF1as.\n\u2013 [op.acc.6.r1.1] Se emplear\xE1 una contrase\xF1\
        a como mecanismo de autenticaci\xF3n cuando el acceso se realiza desde zonas\
        \ controladas y sin atravesar zonas no controladas (v\xE9ase refuerzo R8).\n\
        \u2013 [op.acc.6.r1.2] Se impondr\xE1n normas de complejidad m\xEDnima y robustez\
        \ frente a ataques de adivinaci\xF3n (ver gu\xEDas CCN-STIC).\nRefuerzo R2-Contrase\xF1\
        a + otro factor de autenticaci\xF3n.\n\u2013 [op.acc.6.r2.1] Se requerir\xE1\
        \ un segundo factor tal como \xABalgo que se tiene\xBB, es decir, un dispositivo,\
        \ una contrase\xF1a de un solo uso (OTP, en ingl\xE9s) como complemento a\
        \ la contrase\xF1a de usuario, o \xABalgo que se es\xBB.\nRefuerzo R3-Certificados.\n\
        \u2013 [op.acc.6.r3.1] Se emplear\xE1n certificados cualificados como mecanismo\
        \ de autenticaci\xF3n.\n\u2013 [op.acc.6.r3.2] El uso del certificado estar\xE1\
        \ protegido por un segundo factor, del tipo PIN o biom\xE9trico.\nRefuerzo\
        \ R4-Certificados en dispositivo f\xEDsico.\n\u2013 [op.acc.6.r4.1] Se emplear\xE1\
        n certificados cualificados como mecanismo de autenticaci\xF3n, en soporte\
        \ f\xEDsico (tarjeta o similar) usando algoritmos, par\xE1metros y dispositivos\
        \ autorizados por el CCN.\n\u2013 [op.acc.6.r4.2] El uso del certificado estar\xE1\
        \ protegido por un segundo factor, del tipo PIN o biom\xE9trico.\nRefuerzo\
        \ R5-Registro.\n\u2013 [op.acc.6.r5.1] Se registrar\xE1n los accesos con \xE9\
        xito y los fallidos.\n\u2013 [op.acc.6.r5.2] Se informar\xE1 al usuario del\
        \ \xFAltimo acceso efectuado con su identidad.\nRefuerzo R6-Limitaci\xF3n\
        \ de la ventana de acceso.\n\u2013 [op.acc.6.r6.1] Se definir\xE1n aquellos\
        \ puntos en los que el sistema requerir\xE1 una renovaci\xF3n de la autenticaci\xF3\
        n del usuario, mediante identificaci\xF3n singular, no bastando con la sesi\xF3\
        n establecida.\nRefuerzo R7-Suspensi\xF3n por no utilizaci\xF3n.\n\u2013 [op.acc.6.r7.1]\
        \ Las credenciales se suspender\xE1n tras un periodo definido de no utilizaci\xF3\
        n.\nRefuerzo R8-Doble factor para acceso desde o a trav\xE9s de zonas no controladas.\n\
        Se denomina \xABzona controlada\xBB aquella que no es de acceso p\xFAblico,\
        \ requiri\xE9ndose que el usuario, antes de tener acceso al equipo, se haya\
        \ autenticado previamente de alguna forma (control de acceso a las instalaciones),\
        \ diferente del mecanismo de autenticaci\xF3n l\xF3gica frente al sistema.\
        \ Un ejemplo de zona no controlada es Internet.\n\u2013 [op.acc.6.r8.1] Para\
        \ el acceso desde o a trav\xE9s de zonas no controladas se requerir\xE1 un\
        \ doble factor de autenticaci\xF3n: R2, R3 o R4.\nRefuerzo R9-Acceso remoto\
        \ (todos los niveles).\n\u2013 [op.acc.6.r9.1] Ser\xE1 de aplicaci\xF3n la\
        \ ITS de Interconexi\xF3n de sistemas de informaci\xF3n.\n\u2013 [op.acc.6.r9.2]\
        \ El acceso remoto deber\xE1 considerar los siguientes aspectos:\na) Ser autorizado\
        \ por la autoridad correspondiente.\nb) El tr\xE1fico deber\xE1 ser cifrado.\n\
        c) Si la utilizaci\xF3n no se produce de manera constante, el acceso remoto\
        \ deber\xE1 encontrarse inhabilitado y habilitarse \xFAnicamente cuando sea\
        \ necesario.\nd) Deber\xE1n recogerse registros de auditor\xEDa de este tipo\
        \ de conexiones.\nP\xE1ginas 44-45"
      implementation_groups:
      - BAJO
      - MEDIO
      - ' ALTO'
      - C
      - I
      - T
      - A
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.acc.6.2
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node407
      ref_id: op.acc.6.2
      description: "Antes de activar el mecanismo de autenticaci\xF3n, el usuario\
        \ reconocer\xE1 que ha recibido las credenciales de acceso y que conoce y\
        \ acepta las obligaciones que implica su tenencia, en particular, el deber\
        \ de custodia diligente, la protecci\xF3n de su confidencialidad y el deber\
        \ de notificaci\xF3n inmediata en caso de p\xE9rdida."
      annotation: "Aplicaci\xF3n de la medida (por confidencialidad, integridad, trazabilidad\
        \ y autenticidad).\n\u2013 Nivel BAJO: op.acc.6 + [R1 o R2 o R3 o R4] + R8\
        \ + R9.\n\u2013 Nivel MEDIO: op.acc.6 + [R1 o R2 o R3 o R4] + R5 + R8 + R9.\n\
        \u2013 Nivel ALTO: op.acc.6 + [R1 o R2 o R3 o R4] + R5 + R6 + R7 + R8 + R9.\n\
        Refuerzo R1-Contrase\xF1as.\n\u2013 [op.acc.6.r1.1] Se emplear\xE1 una contrase\xF1\
        a como mecanismo de autenticaci\xF3n cuando el acceso se realiza desde zonas\
        \ controladas y sin atravesar zonas no controladas (v\xE9ase refuerzo R8).\n\
        \u2013 [op.acc.6.r1.2] Se impondr\xE1n normas de complejidad m\xEDnima y robustez\
        \ frente a ataques de adivinaci\xF3n (ver gu\xEDas CCN-STIC).\nRefuerzo R2-Contrase\xF1\
        a + otro factor de autenticaci\xF3n.\n\u2013 [op.acc.6.r2.1] Se requerir\xE1\
        \ un segundo factor tal como \xABalgo que se tiene\xBB, es decir, un dispositivo,\
        \ una contrase\xF1a de un solo uso (OTP, en ingl\xE9s) como complemento a\
        \ la contrase\xF1a de usuario, o \xABalgo que se es\xBB.\nRefuerzo R3-Certificados.\n\
        \u2013 [op.acc.6.r3.1] Se emplear\xE1n certificados cualificados como mecanismo\
        \ de autenticaci\xF3n.\n\u2013 [op.acc.6.r3.2] El uso del certificado estar\xE1\
        \ protegido por un segundo factor, del tipo PIN o biom\xE9trico.\nRefuerzo\
        \ R4-Certificados en dispositivo f\xEDsico.\n\u2013 [op.acc.6.r4.1] Se emplear\xE1\
        n certificados cualificados como mecanismo de autenticaci\xF3n, en soporte\
        \ f\xEDsico (tarjeta o similar) usando algoritmos, par\xE1metros y dispositivos\
        \ autorizados por el CCN.\n\u2013 [op.acc.6.r4.2] El uso del certificado estar\xE1\
        \ protegido por un segundo factor, del tipo PIN o biom\xE9trico.\nRefuerzo\
        \ R5-Registro.\n\u2013 [op.acc.6.r5.1] Se registrar\xE1n los accesos con \xE9\
        xito y los fallidos.\n\u2013 [op.acc.6.r5.2] Se informar\xE1 al usuario del\
        \ \xFAltimo acceso efectuado con su identidad.\nRefuerzo R6-Limitaci\xF3n\
        \ de la ventana de acceso.\n\u2013 [op.acc.6.r6.1] Se definir\xE1n aquellos\
        \ puntos en los que el sistema requerir\xE1 una renovaci\xF3n de la autenticaci\xF3\
        n del usuario, mediante identificaci\xF3n singular, no bastando con la sesi\xF3\
        n establecida.\nRefuerzo R7-Suspensi\xF3n por no utilizaci\xF3n.\n\u2013 [op.acc.6.r7.1]\
        \ Las credenciales se suspender\xE1n tras un periodo definido de no utilizaci\xF3\
        n.\nRefuerzo R8-Doble factor para acceso desde o a trav\xE9s de zonas no controladas.\n\
        Se denomina \xABzona controlada\xBB aquella que no es de acceso p\xFAblico,\
        \ requiri\xE9ndose que el usuario, antes de tener acceso al equipo, se haya\
        \ autenticado previamente de alguna forma (control de acceso a las instalaciones),\
        \ diferente del mecanismo de autenticaci\xF3n l\xF3gica frente al sistema.\
        \ Un ejemplo de zona no controlada es Internet.\n\u2013 [op.acc.6.r8.1] Para\
        \ el acceso desde o a trav\xE9s de zonas no controladas se requerir\xE1 un\
        \ doble factor de autenticaci\xF3n: R2, R3 o R4.\nRefuerzo R9-Acceso remoto\
        \ (todos los niveles).\n\u2013 [op.acc.6.r9.1] Ser\xE1 de aplicaci\xF3n la\
        \ ITS de Interconexi\xF3n de sistemas de informaci\xF3n.\n\u2013 [op.acc.6.r9.2]\
        \ El acceso remoto deber\xE1 considerar los siguientes aspectos:\na) Ser autorizado\
        \ por la autoridad correspondiente.\nb) El tr\xE1fico deber\xE1 ser cifrado.\n\
        c) Si la utilizaci\xF3n no se produce de manera constante, el acceso remoto\
        \ deber\xE1 encontrarse inhabilitado y habilitarse \xFAnicamente cuando sea\
        \ necesario.\nd) Deber\xE1n recogerse registros de auditor\xEDa de este tipo\
        \ de conexiones.\nP\xE1ginas 44-45"
      implementation_groups:
      - BAJO
      - MEDIO
      - ' ALTO'
      - C
      - I
      - T
      - A
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.acc.6.3
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node407
      ref_id: op.acc.6.3
      description: "Las credenciales estar\xE1n bajo el control exclusivo del usuario\
        \ y se activar\xE1n una vez est\xE9n bajo su control efectivo."
      annotation: "Aplicaci\xF3n de la medida (por confidencialidad, integridad, trazabilidad\
        \ y autenticidad).\n\u2013 Nivel BAJO: op.acc.6 + [R1 o R2 o R3 o R4] + R8\
        \ + R9.\n\u2013 Nivel MEDIO: op.acc.6 + [R1 o R2 o R3 o R4] + R5 + R8 + R9.\n\
        \u2013 Nivel ALTO: op.acc.6 + [R1 o R2 o R3 o R4] + R5 + R6 + R7 + R8 + R9.\n\
        Refuerzo R1-Contrase\xF1as.\n\u2013 [op.acc.6.r1.1] Se emplear\xE1 una contrase\xF1\
        a como mecanismo de autenticaci\xF3n cuando el acceso se realiza desde zonas\
        \ controladas y sin atravesar zonas no controladas (v\xE9ase refuerzo R8).\n\
        \u2013 [op.acc.6.r1.2] Se impondr\xE1n normas de complejidad m\xEDnima y robustez\
        \ frente a ataques de adivinaci\xF3n (ver gu\xEDas CCN-STIC).\nRefuerzo R2-Contrase\xF1\
        a + otro factor de autenticaci\xF3n.\n\u2013 [op.acc.6.r2.1] Se requerir\xE1\
        \ un segundo factor tal como \xABalgo que se tiene\xBB, es decir, un dispositivo,\
        \ una contrase\xF1a de un solo uso (OTP, en ingl\xE9s) como complemento a\
        \ la contrase\xF1a de usuario, o \xABalgo que se es\xBB.\nRefuerzo R3-Certificados.\n\
        \u2013 [op.acc.6.r3.1] Se emplear\xE1n certificados cualificados como mecanismo\
        \ de autenticaci\xF3n.\n\u2013 [op.acc.6.r3.2] El uso del certificado estar\xE1\
        \ protegido por un segundo factor, del tipo PIN o biom\xE9trico.\nRefuerzo\
        \ R4-Certificados en dispositivo f\xEDsico.\n\u2013 [op.acc.6.r4.1] Se emplear\xE1\
        n certificados cualificados como mecanismo de autenticaci\xF3n, en soporte\
        \ f\xEDsico (tarjeta o similar) usando algoritmos, par\xE1metros y dispositivos\
        \ autorizados por el CCN.\n\u2013 [op.acc.6.r4.2] El uso del certificado estar\xE1\
        \ protegido por un segundo factor, del tipo PIN o biom\xE9trico.\nRefuerzo\
        \ R5-Registro.\n\u2013 [op.acc.6.r5.1] Se registrar\xE1n los accesos con \xE9\
        xito y los fallidos.\n\u2013 [op.acc.6.r5.2] Se informar\xE1 al usuario del\
        \ \xFAltimo acceso efectuado con su identidad.\nRefuerzo R6-Limitaci\xF3n\
        \ de la ventana de acceso.\n\u2013 [op.acc.6.r6.1] Se definir\xE1n aquellos\
        \ puntos en los que el sistema requerir\xE1 una renovaci\xF3n de la autenticaci\xF3\
        n del usuario, mediante identificaci\xF3n singular, no bastando con la sesi\xF3\
        n establecida.\nRefuerzo R7-Suspensi\xF3n por no utilizaci\xF3n.\n\u2013 [op.acc.6.r7.1]\
        \ Las credenciales se suspender\xE1n tras un periodo definido de no utilizaci\xF3\
        n.\nRefuerzo R8-Doble factor para acceso desde o a trav\xE9s de zonas no controladas.\n\
        Se denomina \xABzona controlada\xBB aquella que no es de acceso p\xFAblico,\
        \ requiri\xE9ndose que el usuario, antes de tener acceso al equipo, se haya\
        \ autenticado previamente de alguna forma (control de acceso a las instalaciones),\
        \ diferente del mecanismo de autenticaci\xF3n l\xF3gica frente al sistema.\
        \ Un ejemplo de zona no controlada es Internet.\n\u2013 [op.acc.6.r8.1] Para\
        \ el acceso desde o a trav\xE9s de zonas no controladas se requerir\xE1 un\
        \ doble factor de autenticaci\xF3n: R2, R3 o R4.\nRefuerzo R9-Acceso remoto\
        \ (todos los niveles).\n\u2013 [op.acc.6.r9.1] Ser\xE1 de aplicaci\xF3n la\
        \ ITS de Interconexi\xF3n de sistemas de informaci\xF3n.\n\u2013 [op.acc.6.r9.2]\
        \ El acceso remoto deber\xE1 considerar los siguientes aspectos:\na) Ser autorizado\
        \ por la autoridad correspondiente.\nb) El tr\xE1fico deber\xE1 ser cifrado.\n\
        c) Si la utilizaci\xF3n no se produce de manera constante, el acceso remoto\
        \ deber\xE1 encontrarse inhabilitado y habilitarse \xFAnicamente cuando sea\
        \ necesario.\nd) Deber\xE1n recogerse registros de auditor\xEDa de este tipo\
        \ de conexiones.\nP\xE1ginas 44-45"
      implementation_groups:
      - BAJO
      - MEDIO
      - ' ALTO'
      - C
      - I
      - T
      - A
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.acc.6.4
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node407
      ref_id: op.acc.6.4
      description: "Las credenciales se cambiar\xE1n con una periodicidad marcada\
        \ por la pol\xEDtica de seguridad de la organizaci\xF3n."
      annotation: "Aplicaci\xF3n de la medida (por confidencialidad, integridad, trazabilidad\
        \ y autenticidad).\n\u2013 Nivel BAJO: op.acc.6 + [R1 o R2 o R3 o R4] + R8\
        \ + R9.\n\u2013 Nivel MEDIO: op.acc.6 + [R1 o R2 o R3 o R4] + R5 + R8 + R9.\n\
        \u2013 Nivel ALTO: op.acc.6 + [R1 o R2 o R3 o R4] + R5 + R6 + R7 + R8 + R9.\n\
        Refuerzo R1-Contrase\xF1as.\n\u2013 [op.acc.6.r1.1] Se emplear\xE1 una contrase\xF1\
        a como mecanismo de autenticaci\xF3n cuando el acceso se realiza desde zonas\
        \ controladas y sin atravesar zonas no controladas (v\xE9ase refuerzo R8).\n\
        \u2013 [op.acc.6.r1.2] Se impondr\xE1n normas de complejidad m\xEDnima y robustez\
        \ frente a ataques de adivinaci\xF3n (ver gu\xEDas CCN-STIC).\nRefuerzo R2-Contrase\xF1\
        a + otro factor de autenticaci\xF3n.\n\u2013 [op.acc.6.r2.1] Se requerir\xE1\
        \ un segundo factor tal como \xABalgo que se tiene\xBB, es decir, un dispositivo,\
        \ una contrase\xF1a de un solo uso (OTP, en ingl\xE9s) como complemento a\
        \ la contrase\xF1a de usuario, o \xABalgo que se es\xBB.\nRefuerzo R3-Certificados.\n\
        \u2013 [op.acc.6.r3.1] Se emplear\xE1n certificados cualificados como mecanismo\
        \ de autenticaci\xF3n.\n\u2013 [op.acc.6.r3.2] El uso del certificado estar\xE1\
        \ protegido por un segundo factor, del tipo PIN o biom\xE9trico.\nRefuerzo\
        \ R4-Certificados en dispositivo f\xEDsico.\n\u2013 [op.acc.6.r4.1] Se emplear\xE1\
        n certificados cualificados como mecanismo de autenticaci\xF3n, en soporte\
        \ f\xEDsico (tarjeta o similar) usando algoritmos, par\xE1metros y dispositivos\
        \ autorizados por el CCN.\n\u2013 [op.acc.6.r4.2] El uso del certificado estar\xE1\
        \ protegido por un segundo factor, del tipo PIN o biom\xE9trico.\nRefuerzo\
        \ R5-Registro.\n\u2013 [op.acc.6.r5.1] Se registrar\xE1n los accesos con \xE9\
        xito y los fallidos.\n\u2013 [op.acc.6.r5.2] Se informar\xE1 al usuario del\
        \ \xFAltimo acceso efectuado con su identidad.\nRefuerzo R6-Limitaci\xF3n\
        \ de la ventana de acceso.\n\u2013 [op.acc.6.r6.1] Se definir\xE1n aquellos\
        \ puntos en los que el sistema requerir\xE1 una renovaci\xF3n de la autenticaci\xF3\
        n del usuario, mediante identificaci\xF3n singular, no bastando con la sesi\xF3\
        n establecida.\nRefuerzo R7-Suspensi\xF3n por no utilizaci\xF3n.\n\u2013 [op.acc.6.r7.1]\
        \ Las credenciales se suspender\xE1n tras un periodo definido de no utilizaci\xF3\
        n.\nRefuerzo R8-Doble factor para acceso desde o a trav\xE9s de zonas no controladas.\n\
        Se denomina \xABzona controlada\xBB aquella que no es de acceso p\xFAblico,\
        \ requiri\xE9ndose que el usuario, antes de tener acceso al equipo, se haya\
        \ autenticado previamente de alguna forma (control de acceso a las instalaciones),\
        \ diferente del mecanismo de autenticaci\xF3n l\xF3gica frente al sistema.\
        \ Un ejemplo de zona no controlada es Internet.\n\u2013 [op.acc.6.r8.1] Para\
        \ el acceso desde o a trav\xE9s de zonas no controladas se requerir\xE1 un\
        \ doble factor de autenticaci\xF3n: R2, R3 o R4.\nRefuerzo R9-Acceso remoto\
        \ (todos los niveles).\n\u2013 [op.acc.6.r9.1] Ser\xE1 de aplicaci\xF3n la\
        \ ITS de Interconexi\xF3n de sistemas de informaci\xF3n.\n\u2013 [op.acc.6.r9.2]\
        \ El acceso remoto deber\xE1 considerar los siguientes aspectos:\na) Ser autorizado\
        \ por la autoridad correspondiente.\nb) El tr\xE1fico deber\xE1 ser cifrado.\n\
        c) Si la utilizaci\xF3n no se produce de manera constante, el acceso remoto\
        \ deber\xE1 encontrarse inhabilitado y habilitarse \xFAnicamente cuando sea\
        \ necesario.\nd) Deber\xE1n recogerse registros de auditor\xEDa de este tipo\
        \ de conexiones.\nP\xE1ginas 44-45"
      implementation_groups:
      - BAJO
      - MEDIO
      - ' ALTO'
      - C
      - I
      - T
      - A
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.acc.6.5
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node407
      ref_id: op.acc.6.5
      description: "Las credenciales ser\xE1n inhabilitadas -pudiendo ser regeneradas,\
        \ en su caso-, cuando conste o se sospeche su p\xE9rdida, compromiso o revelaci\xF3\
        n a entidades (personas, equipos o procesos) no autorizadas."
      annotation: "Aplicaci\xF3n de la medida (por confidencialidad, integridad, trazabilidad\
        \ y autenticidad).\n\u2013 Nivel BAJO: op.acc.6 + [R1 o R2 o R3 o R4] + R8\
        \ + R9.\n\u2013 Nivel MEDIO: op.acc.6 + [R1 o R2 o R3 o R4] + R5 + R8 + R9.\n\
        \u2013 Nivel ALTO: op.acc.6 + [R1 o R2 o R3 o R4] + R5 + R6 + R7 + R8 + R9.\n\
        Refuerzo R1-Contrase\xF1as.\n\u2013 [op.acc.6.r1.1] Se emplear\xE1 una contrase\xF1\
        a como mecanismo de autenticaci\xF3n cuando el acceso se realiza desde zonas\
        \ controladas y sin atravesar zonas no controladas (v\xE9ase refuerzo R8).\n\
        \u2013 [op.acc.6.r1.2] Se impondr\xE1n normas de complejidad m\xEDnima y robustez\
        \ frente a ataques de adivinaci\xF3n (ver gu\xEDas CCN-STIC).\nRefuerzo R2-Contrase\xF1\
        a + otro factor de autenticaci\xF3n.\n\u2013 [op.acc.6.r2.1] Se requerir\xE1\
        \ un segundo factor tal como \xABalgo que se tiene\xBB, es decir, un dispositivo,\
        \ una contrase\xF1a de un solo uso (OTP, en ingl\xE9s) como complemento a\
        \ la contrase\xF1a de usuario, o \xABalgo que se es\xBB.\nRefuerzo R3-Certificados.\n\
        \u2013 [op.acc.6.r3.1] Se emplear\xE1n certificados cualificados como mecanismo\
        \ de autenticaci\xF3n.\n\u2013 [op.acc.6.r3.2] El uso del certificado estar\xE1\
        \ protegido por un segundo factor, del tipo PIN o biom\xE9trico.\nRefuerzo\
        \ R4-Certificados en dispositivo f\xEDsico.\n\u2013 [op.acc.6.r4.1] Se emplear\xE1\
        n certificados cualificados como mecanismo de autenticaci\xF3n, en soporte\
        \ f\xEDsico (tarjeta o similar) usando algoritmos, par\xE1metros y dispositivos\
        \ autorizados por el CCN.\n\u2013 [op.acc.6.r4.2] El uso del certificado estar\xE1\
        \ protegido por un segundo factor, del tipo PIN o biom\xE9trico.\nRefuerzo\
        \ R5-Registro.\n\u2013 [op.acc.6.r5.1] Se registrar\xE1n los accesos con \xE9\
        xito y los fallidos.\n\u2013 [op.acc.6.r5.2] Se informar\xE1 al usuario del\
        \ \xFAltimo acceso efectuado con su identidad.\nRefuerzo R6-Limitaci\xF3n\
        \ de la ventana de acceso.\n\u2013 [op.acc.6.r6.1] Se definir\xE1n aquellos\
        \ puntos en los que el sistema requerir\xE1 una renovaci\xF3n de la autenticaci\xF3\
        n del usuario, mediante identificaci\xF3n singular, no bastando con la sesi\xF3\
        n establecida.\nRefuerzo R7-Suspensi\xF3n por no utilizaci\xF3n.\n\u2013 [op.acc.6.r7.1]\
        \ Las credenciales se suspender\xE1n tras un periodo definido de no utilizaci\xF3\
        n.\nRefuerzo R8-Doble factor para acceso desde o a trav\xE9s de zonas no controladas.\n\
        Se denomina \xABzona controlada\xBB aquella que no es de acceso p\xFAblico,\
        \ requiri\xE9ndose que el usuario, antes de tener acceso al equipo, se haya\
        \ autenticado previamente de alguna forma (control de acceso a las instalaciones),\
        \ diferente del mecanismo de autenticaci\xF3n l\xF3gica frente al sistema.\
        \ Un ejemplo de zona no controlada es Internet.\n\u2013 [op.acc.6.r8.1] Para\
        \ el acceso desde o a trav\xE9s de zonas no controladas se requerir\xE1 un\
        \ doble factor de autenticaci\xF3n: R2, R3 o R4.\nRefuerzo R9-Acceso remoto\
        \ (todos los niveles).\n\u2013 [op.acc.6.r9.1] Ser\xE1 de aplicaci\xF3n la\
        \ ITS de Interconexi\xF3n de sistemas de informaci\xF3n.\n\u2013 [op.acc.6.r9.2]\
        \ El acceso remoto deber\xE1 considerar los siguientes aspectos:\na) Ser autorizado\
        \ por la autoridad correspondiente.\nb) El tr\xE1fico deber\xE1 ser cifrado.\n\
        c) Si la utilizaci\xF3n no se produce de manera constante, el acceso remoto\
        \ deber\xE1 encontrarse inhabilitado y habilitarse \xFAnicamente cuando sea\
        \ necesario.\nd) Deber\xE1n recogerse registros de auditor\xEDa de este tipo\
        \ de conexiones.\nP\xE1ginas 44-45"
      implementation_groups:
      - BAJO
      - MEDIO
      - ' ALTO'
      - C
      - I
      - T
      - A
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.acc.6.6
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node407
      ref_id: op.acc.6.6
      description: " Las credenciales ser\xE1n inhabilitadas cuando el usuario que\
        \ autentican termina su relaci\xF3n con el sistema."
      annotation: "Aplicaci\xF3n de la medida (por confidencialidad, integridad, trazabilidad\
        \ y autenticidad).\n\u2013 Nivel BAJO: op.acc.6 + [R1 o R2 o R3 o R4] + R8\
        \ + R9.\n\u2013 Nivel MEDIO: op.acc.6 + [R1 o R2 o R3 o R4] + R5 + R8 + R9.\n\
        \u2013 Nivel ALTO: op.acc.6 + [R1 o R2 o R3 o R4] + R5 + R6 + R7 + R8 + R9.\n\
        Refuerzo R1-Contrase\xF1as.\n\u2013 [op.acc.6.r1.1] Se emplear\xE1 una contrase\xF1\
        a como mecanismo de autenticaci\xF3n cuando el acceso se realiza desde zonas\
        \ controladas y sin atravesar zonas no controladas (v\xE9ase refuerzo R8).\n\
        \u2013 [op.acc.6.r1.2] Se impondr\xE1n normas de complejidad m\xEDnima y robustez\
        \ frente a ataques de adivinaci\xF3n (ver gu\xEDas CCN-STIC).\nRefuerzo R2-Contrase\xF1\
        a + otro factor de autenticaci\xF3n.\n\u2013 [op.acc.6.r2.1] Se requerir\xE1\
        \ un segundo factor tal como \xABalgo que se tiene\xBB, es decir, un dispositivo,\
        \ una contrase\xF1a de un solo uso (OTP, en ingl\xE9s) como complemento a\
        \ la contrase\xF1a de usuario, o \xABalgo que se es\xBB.\nRefuerzo R3-Certificados.\n\
        \u2013 [op.acc.6.r3.1] Se emplear\xE1n certificados cualificados como mecanismo\
        \ de autenticaci\xF3n.\n\u2013 [op.acc.6.r3.2] El uso del certificado estar\xE1\
        \ protegido por un segundo factor, del tipo PIN o biom\xE9trico.\nRefuerzo\
        \ R4-Certificados en dispositivo f\xEDsico.\n\u2013 [op.acc.6.r4.1] Se emplear\xE1\
        n certificados cualificados como mecanismo de autenticaci\xF3n, en soporte\
        \ f\xEDsico (tarjeta o similar) usando algoritmos, par\xE1metros y dispositivos\
        \ autorizados por el CCN.\n\u2013 [op.acc.6.r4.2] El uso del certificado estar\xE1\
        \ protegido por un segundo factor, del tipo PIN o biom\xE9trico.\nRefuerzo\
        \ R5-Registro.\n\u2013 [op.acc.6.r5.1] Se registrar\xE1n los accesos con \xE9\
        xito y los fallidos.\n\u2013 [op.acc.6.r5.2] Se informar\xE1 al usuario del\
        \ \xFAltimo acceso efectuado con su identidad.\nRefuerzo R6-Limitaci\xF3n\
        \ de la ventana de acceso.\n\u2013 [op.acc.6.r6.1] Se definir\xE1n aquellos\
        \ puntos en los que el sistema requerir\xE1 una renovaci\xF3n de la autenticaci\xF3\
        n del usuario, mediante identificaci\xF3n singular, no bastando con la sesi\xF3\
        n establecida.\nRefuerzo R7-Suspensi\xF3n por no utilizaci\xF3n.\n\u2013 [op.acc.6.r7.1]\
        \ Las credenciales se suspender\xE1n tras un periodo definido de no utilizaci\xF3\
        n.\nRefuerzo R8-Doble factor para acceso desde o a trav\xE9s de zonas no controladas.\n\
        Se denomina \xABzona controlada\xBB aquella que no es de acceso p\xFAblico,\
        \ requiri\xE9ndose que el usuario, antes de tener acceso al equipo, se haya\
        \ autenticado previamente de alguna forma (control de acceso a las instalaciones),\
        \ diferente del mecanismo de autenticaci\xF3n l\xF3gica frente al sistema.\
        \ Un ejemplo de zona no controlada es Internet.\n\u2013 [op.acc.6.r8.1] Para\
        \ el acceso desde o a trav\xE9s de zonas no controladas se requerir\xE1 un\
        \ doble factor de autenticaci\xF3n: R2, R3 o R4.\nRefuerzo R9-Acceso remoto\
        \ (todos los niveles).\n\u2013 [op.acc.6.r9.1] Ser\xE1 de aplicaci\xF3n la\
        \ ITS de Interconexi\xF3n de sistemas de informaci\xF3n.\n\u2013 [op.acc.6.r9.2]\
        \ El acceso remoto deber\xE1 considerar los siguientes aspectos:\na) Ser autorizado\
        \ por la autoridad correspondiente.\nb) El tr\xE1fico deber\xE1 ser cifrado.\n\
        c) Si la utilizaci\xF3n no se produce de manera constante, el acceso remoto\
        \ deber\xE1 encontrarse inhabilitado y habilitarse \xFAnicamente cuando sea\
        \ necesario.\nd) Deber\xE1n recogerse registros de auditor\xEDa de este tipo\
        \ de conexiones.\nP\xE1ginas 44-45"
      implementation_groups:
      - BAJO
      - MEDIO
      - ' ALTO'
      - C
      - I
      - T
      - A
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.acc.6.7
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node407
      ref_id: op.acc.6.7
      description: "Antes de autorizar el acceso, la informaci\xF3n presentada por\
        \ el sistema ser\xE1 la m\xEDnima imprescindible para que el usuario se autentique,\
        \ evitando todo aquello que pueda, directa o indirectamente, revelar informaci\xF3\
        n sobre el sistema o la cuenta, sus caracter\xEDsticas, su operaci\xF3n o\
        \ su estado. Las credenciales solamente se validar\xE1n cuando se tengan todos\
        \ los datos necesarios y, si se rechaza, no se informar\xE1 del motivo del\
        \ rechazo."
      annotation: "Aplicaci\xF3n de la medida (por confidencialidad, integridad, trazabilidad\
        \ y autenticidad).\n\u2013 Nivel BAJO: op.acc.6 + [R1 o R2 o R3 o R4] + R8\
        \ + R9.\n\u2013 Nivel MEDIO: op.acc.6 + [R1 o R2 o R3 o R4] + R5 + R8 + R9.\n\
        \u2013 Nivel ALTO: op.acc.6 + [R1 o R2 o R3 o R4] + R5 + R6 + R7 + R8 + R9.\n\
        Refuerzo R1-Contrase\xF1as.\n\u2013 [op.acc.6.r1.1] Se emplear\xE1 una contrase\xF1\
        a como mecanismo de autenticaci\xF3n cuando el acceso se realiza desde zonas\
        \ controladas y sin atravesar zonas no controladas (v\xE9ase refuerzo R8).\n\
        \u2013 [op.acc.6.r1.2] Se impondr\xE1n normas de complejidad m\xEDnima y robustez\
        \ frente a ataques de adivinaci\xF3n (ver gu\xEDas CCN-STIC).\nRefuerzo R2-Contrase\xF1\
        a + otro factor de autenticaci\xF3n.\n\u2013 [op.acc.6.r2.1] Se requerir\xE1\
        \ un segundo factor tal como \xABalgo que se tiene\xBB, es decir, un dispositivo,\
        \ una contrase\xF1a de un solo uso (OTP, en ingl\xE9s) como complemento a\
        \ la contrase\xF1a de usuario, o \xABalgo que se es\xBB.\nRefuerzo R3-Certificados.\n\
        \u2013 [op.acc.6.r3.1] Se emplear\xE1n certificados cualificados como mecanismo\
        \ de autenticaci\xF3n.\n\u2013 [op.acc.6.r3.2] El uso del certificado estar\xE1\
        \ protegido por un segundo factor, del tipo PIN o biom\xE9trico.\nRefuerzo\
        \ R4-Certificados en dispositivo f\xEDsico.\n\u2013 [op.acc.6.r4.1] Se emplear\xE1\
        n certificados cualificados como mecanismo de autenticaci\xF3n, en soporte\
        \ f\xEDsico (tarjeta o similar) usando algoritmos, par\xE1metros y dispositivos\
        \ autorizados por el CCN.\n\u2013 [op.acc.6.r4.2] El uso del certificado estar\xE1\
        \ protegido por un segundo factor, del tipo PIN o biom\xE9trico.\nRefuerzo\
        \ R5-Registro.\n\u2013 [op.acc.6.r5.1] Se registrar\xE1n los accesos con \xE9\
        xito y los fallidos.\n\u2013 [op.acc.6.r5.2] Se informar\xE1 al usuario del\
        \ \xFAltimo acceso efectuado con su identidad.\nRefuerzo R6-Limitaci\xF3n\
        \ de la ventana de acceso.\n\u2013 [op.acc.6.r6.1] Se definir\xE1n aquellos\
        \ puntos en los que el sistema requerir\xE1 una renovaci\xF3n de la autenticaci\xF3\
        n del usuario, mediante identificaci\xF3n singular, no bastando con la sesi\xF3\
        n establecida.\nRefuerzo R7-Suspensi\xF3n por no utilizaci\xF3n.\n\u2013 [op.acc.6.r7.1]\
        \ Las credenciales se suspender\xE1n tras un periodo definido de no utilizaci\xF3\
        n.\nRefuerzo R8-Doble factor para acceso desde o a trav\xE9s de zonas no controladas.\n\
        Se denomina \xABzona controlada\xBB aquella que no es de acceso p\xFAblico,\
        \ requiri\xE9ndose que el usuario, antes de tener acceso al equipo, se haya\
        \ autenticado previamente de alguna forma (control de acceso a las instalaciones),\
        \ diferente del mecanismo de autenticaci\xF3n l\xF3gica frente al sistema.\
        \ Un ejemplo de zona no controlada es Internet.\n\u2013 [op.acc.6.r8.1] Para\
        \ el acceso desde o a trav\xE9s de zonas no controladas se requerir\xE1 un\
        \ doble factor de autenticaci\xF3n: R2, R3 o R4.\nRefuerzo R9-Acceso remoto\
        \ (todos los niveles).\n\u2013 [op.acc.6.r9.1] Ser\xE1 de aplicaci\xF3n la\
        \ ITS de Interconexi\xF3n de sistemas de informaci\xF3n.\n\u2013 [op.acc.6.r9.2]\
        \ El acceso remoto deber\xE1 considerar los siguientes aspectos:\na) Ser autorizado\
        \ por la autoridad correspondiente.\nb) El tr\xE1fico deber\xE1 ser cifrado.\n\
        c) Si la utilizaci\xF3n no se produce de manera constante, el acceso remoto\
        \ deber\xE1 encontrarse inhabilitado y habilitarse \xFAnicamente cuando sea\
        \ necesario.\nd) Deber\xE1n recogerse registros de auditor\xEDa de este tipo\
        \ de conexiones.\nP\xE1ginas 44-45"
      implementation_groups:
      - BAJO
      - MEDIO
      - ' ALTO'
      - C
      - I
      - T
      - A
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.acc.6.8
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node407
      ref_id: op.acc.6.8
      description: "El n\xFAmero de intentos permitidos ser\xE1 limitado, bloqueando\
        \ la oportunidad de acceso una vez superado tal n\xFAmero, y requiriendo una\
        \ intervenci\xF3n espec\xEDfica para reactivar la cuenta, que se describir\xE1\
        \ en la documentaci\xF3n."
      annotation: "Aplicaci\xF3n de la medida (por confidencialidad, integridad, trazabilidad\
        \ y autenticidad).\n\u2013 Nivel BAJO: op.acc.6 + [R1 o R2 o R3 o R4] + R8\
        \ + R9.\n\u2013 Nivel MEDIO: op.acc.6 + [R1 o R2 o R3 o R4] + R5 + R8 + R9.\n\
        \u2013 Nivel ALTO: op.acc.6 + [R1 o R2 o R3 o R4] + R5 + R6 + R7 + R8 + R9.\n\
        Refuerzo R1-Contrase\xF1as.\n\u2013 [op.acc.6.r1.1] Se emplear\xE1 una contrase\xF1\
        a como mecanismo de autenticaci\xF3n cuando el acceso se realiza desde zonas\
        \ controladas y sin atravesar zonas no controladas (v\xE9ase refuerzo R8).\n\
        \u2013 [op.acc.6.r1.2] Se impondr\xE1n normas de complejidad m\xEDnima y robustez\
        \ frente a ataques de adivinaci\xF3n (ver gu\xEDas CCN-STIC).\nRefuerzo R2-Contrase\xF1\
        a + otro factor de autenticaci\xF3n.\n\u2013 [op.acc.6.r2.1] Se requerir\xE1\
        \ un segundo factor tal como \xABalgo que se tiene\xBB, es decir, un dispositivo,\
        \ una contrase\xF1a de un solo uso (OTP, en ingl\xE9s) como complemento a\
        \ la contrase\xF1a de usuario, o \xABalgo que se es\xBB.\nRefuerzo R3-Certificados.\n\
        \u2013 [op.acc.6.r3.1] Se emplear\xE1n certificados cualificados como mecanismo\
        \ de autenticaci\xF3n.\n\u2013 [op.acc.6.r3.2] El uso del certificado estar\xE1\
        \ protegido por un segundo factor, del tipo PIN o biom\xE9trico.\nRefuerzo\
        \ R4-Certificados en dispositivo f\xEDsico.\n\u2013 [op.acc.6.r4.1] Se emplear\xE1\
        n certificados cualificados como mecanismo de autenticaci\xF3n, en soporte\
        \ f\xEDsico (tarjeta o similar) usando algoritmos, par\xE1metros y dispositivos\
        \ autorizados por el CCN.\n\u2013 [op.acc.6.r4.2] El uso del certificado estar\xE1\
        \ protegido por un segundo factor, del tipo PIN o biom\xE9trico.\nRefuerzo\
        \ R5-Registro.\n\u2013 [op.acc.6.r5.1] Se registrar\xE1n los accesos con \xE9\
        xito y los fallidos.\n\u2013 [op.acc.6.r5.2] Se informar\xE1 al usuario del\
        \ \xFAltimo acceso efectuado con su identidad.\nRefuerzo R6-Limitaci\xF3n\
        \ de la ventana de acceso.\n\u2013 [op.acc.6.r6.1] Se definir\xE1n aquellos\
        \ puntos en los que el sistema requerir\xE1 una renovaci\xF3n de la autenticaci\xF3\
        n del usuario, mediante identificaci\xF3n singular, no bastando con la sesi\xF3\
        n establecida.\nRefuerzo R7-Suspensi\xF3n por no utilizaci\xF3n.\n\u2013 [op.acc.6.r7.1]\
        \ Las credenciales se suspender\xE1n tras un periodo definido de no utilizaci\xF3\
        n.\nRefuerzo R8-Doble factor para acceso desde o a trav\xE9s de zonas no controladas.\n\
        Se denomina \xABzona controlada\xBB aquella que no es de acceso p\xFAblico,\
        \ requiri\xE9ndose que el usuario, antes de tener acceso al equipo, se haya\
        \ autenticado previamente de alguna forma (control de acceso a las instalaciones),\
        \ diferente del mecanismo de autenticaci\xF3n l\xF3gica frente al sistema.\
        \ Un ejemplo de zona no controlada es Internet.\n\u2013 [op.acc.6.r8.1] Para\
        \ el acceso desde o a trav\xE9s de zonas no controladas se requerir\xE1 un\
        \ doble factor de autenticaci\xF3n: R2, R3 o R4.\nRefuerzo R9-Acceso remoto\
        \ (todos los niveles).\n\u2013 [op.acc.6.r9.1] Ser\xE1 de aplicaci\xF3n la\
        \ ITS de Interconexi\xF3n de sistemas de informaci\xF3n.\n\u2013 [op.acc.6.r9.2]\
        \ El acceso remoto deber\xE1 considerar los siguientes aspectos:\na) Ser autorizado\
        \ por la autoridad correspondiente.\nb) El tr\xE1fico deber\xE1 ser cifrado.\n\
        c) Si la utilizaci\xF3n no se produce de manera constante, el acceso remoto\
        \ deber\xE1 encontrarse inhabilitado y habilitarse \xFAnicamente cuando sea\
        \ necesario.\nd) Deber\xE1n recogerse registros de auditor\xEDa de este tipo\
        \ de conexiones.\nP\xE1ginas 44-45"
      implementation_groups:
      - BAJO
      - MEDIO
      - ' ALTO'
      - C
      - I
      - T
      - A
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.acc.6.9
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node407
      ref_id: op.acc.6.9
      description: "El sistema informar\xE1 al usuario de sus derechos u obligaciones\
        \ inmediatamente despu\xE9s de obtener el acceso."
      annotation: "Aplicaci\xF3n de la medida (por confidencialidad, integridad, trazabilidad\
        \ y autenticidad).\n\u2013 Nivel BAJO: op.acc.6 + [R1 o R2 o R3 o R4] + R8\
        \ + R9.\n\u2013 Nivel MEDIO: op.acc.6 + [R1 o R2 o R3 o R4] + R5 + R8 + R9.\n\
        \u2013 Nivel ALTO: op.acc.6 + [R1 o R2 o R3 o R4] + R5 + R6 + R7 + R8 + R9.\n\
        Refuerzo R1-Contrase\xF1as.\n\u2013 [op.acc.6.r1.1] Se emplear\xE1 una contrase\xF1\
        a como mecanismo de autenticaci\xF3n cuando el acceso se realiza desde zonas\
        \ controladas y sin atravesar zonas no controladas (v\xE9ase refuerzo R8).\n\
        \u2013 [op.acc.6.r1.2] Se impondr\xE1n normas de complejidad m\xEDnima y robustez\
        \ frente a ataques de adivinaci\xF3n (ver gu\xEDas CCN-STIC).\nRefuerzo R2-Contrase\xF1\
        a + otro factor de autenticaci\xF3n.\n\u2013 [op.acc.6.r2.1] Se requerir\xE1\
        \ un segundo factor tal como \xABalgo que se tiene\xBB, es decir, un dispositivo,\
        \ una contrase\xF1a de un solo uso (OTP, en ingl\xE9s) como complemento a\
        \ la contrase\xF1a de usuario, o \xABalgo que se es\xBB.\nRefuerzo R3-Certificados.\n\
        \u2013 [op.acc.6.r3.1] Se emplear\xE1n certificados cualificados como mecanismo\
        \ de autenticaci\xF3n.\n\u2013 [op.acc.6.r3.2] El uso del certificado estar\xE1\
        \ protegido por un segundo factor, del tipo PIN o biom\xE9trico.\nRefuerzo\
        \ R4-Certificados en dispositivo f\xEDsico.\n\u2013 [op.acc.6.r4.1] Se emplear\xE1\
        n certificados cualificados como mecanismo de autenticaci\xF3n, en soporte\
        \ f\xEDsico (tarjeta o similar) usando algoritmos, par\xE1metros y dispositivos\
        \ autorizados por el CCN.\n\u2013 [op.acc.6.r4.2] El uso del certificado estar\xE1\
        \ protegido por un segundo factor, del tipo PIN o biom\xE9trico.\nRefuerzo\
        \ R5-Registro.\n\u2013 [op.acc.6.r5.1] Se registrar\xE1n los accesos con \xE9\
        xito y los fallidos.\n\u2013 [op.acc.6.r5.2] Se informar\xE1 al usuario del\
        \ \xFAltimo acceso efectuado con su identidad.\nRefuerzo R6-Limitaci\xF3n\
        \ de la ventana de acceso.\n\u2013 [op.acc.6.r6.1] Se definir\xE1n aquellos\
        \ puntos en los que el sistema requerir\xE1 una renovaci\xF3n de la autenticaci\xF3\
        n del usuario, mediante identificaci\xF3n singular, no bastando con la sesi\xF3\
        n establecida.\nRefuerzo R7-Suspensi\xF3n por no utilizaci\xF3n.\n\u2013 [op.acc.6.r7.1]\
        \ Las credenciales se suspender\xE1n tras un periodo definido de no utilizaci\xF3\
        n.\nRefuerzo R8-Doble factor para acceso desde o a trav\xE9s de zonas no controladas.\n\
        Se denomina \xABzona controlada\xBB aquella que no es de acceso p\xFAblico,\
        \ requiri\xE9ndose que el usuario, antes de tener acceso al equipo, se haya\
        \ autenticado previamente de alguna forma (control de acceso a las instalaciones),\
        \ diferente del mecanismo de autenticaci\xF3n l\xF3gica frente al sistema.\
        \ Un ejemplo de zona no controlada es Internet.\n\u2013 [op.acc.6.r8.1] Para\
        \ el acceso desde o a trav\xE9s de zonas no controladas se requerir\xE1 un\
        \ doble factor de autenticaci\xF3n: R2, R3 o R4.\nRefuerzo R9-Acceso remoto\
        \ (todos los niveles).\n\u2013 [op.acc.6.r9.1] Ser\xE1 de aplicaci\xF3n la\
        \ ITS de Interconexi\xF3n de sistemas de informaci\xF3n.\n\u2013 [op.acc.6.r9.2]\
        \ El acceso remoto deber\xE1 considerar los siguientes aspectos:\na) Ser autorizado\
        \ por la autoridad correspondiente.\nb) El tr\xE1fico deber\xE1 ser cifrado.\n\
        c) Si la utilizaci\xF3n no se produce de manera constante, el acceso remoto\
        \ deber\xE1 encontrarse inhabilitado y habilitarse \xFAnicamente cuando sea\
        \ necesario.\nd) Deber\xE1n recogerse registros de auditor\xEDa de este tipo\
        \ de conexiones.\nP\xE1ginas 44-45"
      implementation_groups:
      - BAJO
      - MEDIO
      - ' ALTO'
      - C
      - I
      - T
      - A
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.exp
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-ii-4
      ref_id: op.exp
      name: "Explotaci\xF3n"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.exp.1
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.exp
      ref_id: op.exp.1
      name: Inventario de activos
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.exp.1.1
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.exp.1
      ref_id: op.exp.1.1
      description: "Se mantendr\xE1 un inventario actualizado de todos los elementos\
        \ del sistema, detallando su naturaleza e identificando a su responsable;\
        \ es decir, la persona que toma las decisiones relativas al mismo."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: op.exp.1.\n\
        \u2013 Categor\xEDa MEDIA: op.exp.1.\n\u2013 Categor\xEDa ALTA: op.exp.1.\n\
        Refuerzo R1-Inventario de etiquetado.\n\u2013 [op.exp.1.r1.1] El etiquetado\
        \ del equipamiento y del cableado formar\xE1 parte del inventario.\nRefuerzo\
        \ R2-Identificaci\xF3n peri\xF3dica de activos.\n\u2013 [op.exp.1.r2.1] Se\
        \ dispondr\xE1 de herramientas que permitan visualizar de forma continua el\
        \ estado de todos los equipos en la red, en particular, los servidores y los\
        \ dispositivos de red y de comunicaciones.\nRefuerzo R3-Identificaci\xF3n\
        \ de activos cr\xEDticos.\n\u2013 [op.exp.1.r3.1] Se dispondr\xE1 de herramientas\
        \ que permitan categorizar los activos cr\xEDticos por contexto de la organizaci\xF3\
        n y riesgos de seguridad.\nRefuerzo R4-Lista de componentes software.\n\u2013\
        \ [op.exp.1.r4.1] Se mantendr\xE1 actualizada una relaci\xF3n formal de los\
        \ componentes software de terceros empleados en el despliegue del sistema.\
        \ Esta lista incluir\xE1 librer\xEDas software y los servicios requeridos\
        \ para su despliegue (plataforma o entorno operacional). El contenido de la\
        \ lista de componentes ser\xE1 equivalente a lo requerido en [mp.sw.1.r5].\n\
        P\xE1ginas 45-46"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.exp.2
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.exp
      ref_id: op.exp.2
      name: " Configuraci\xF3n de seguridad "
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node421
      assessable: false
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.exp.2
      description: "Se configurar\xE1n los equipos previamente a su entrada en operaci\xF3\
        n, de forma que:"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.exp.2.1
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node421
      ref_id: op.exp.2.1
      description: "Se retiren cuentas y contrase\xF1as est\xE1ndar."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: op.exp.2.\n\
        \u2013 Categor\xEDa MEDIA: op.exp.2.\n\u2013 Categor\xEDa ALTA: op.exp.2.\n\
        P\xE1gina 46"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.exp.2.2
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node421
      ref_id: op.exp.2.2
      description: "Se aplicar\xE1 la regla de \xABm\xEDnima funcionalidad\xBB, es\
        \ decir:"
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: op.exp.2.\n\
        \u2013 Categor\xEDa MEDIA: op.exp.2.\n\u2013 Categor\xEDa ALTA: op.exp.2.\n\
        P\xE1gina 46"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.exp.2.2.a
      assessable: true
      depth: 7
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.exp.2.2
      ref_id: op.exp.2.2.a
      description: "El sistema debe proporcionar la funcionalidad m\xEDnima imprescindible\
        \ para que la organizaci\xF3n alcance sus objetivos."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: op.exp.2.\n\
        \u2013 Categor\xEDa MEDIA: op.exp.2.\n\u2013 Categor\xEDa ALTA: op.exp.2.\n\
        P\xE1gina 46"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.exp.2.2.b
      assessable: true
      depth: 7
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.exp.2.2
      ref_id: op.exp.2.2.b
      description: "No proporcionar\xE1 funciones injustificadas (de operaci\xF3n,\
        \ administraci\xF3n o auditor\xEDa) al objeto de reducir al m\xEDnimo su per\xED\
        metro de exposici\xF3n, elimin\xE1ndose o desactiv\xE1ndose aquellas funciones\
        \ que sean innecesarias o inadecuadas al fin que se persigue."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: op.exp.2.\n\
        \u2013 Categor\xEDa MEDIA: op.exp.2.\n\u2013 Categor\xEDa ALTA: op.exp.2.\n\
        P\xE1gina 46"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.exp.2.3
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node421
      ref_id: op.exp.2.3
      description: "Se aplicar\xE1 la regla de \xABseguridad por defecto\xBB, es decir:"
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: op.exp.2.\n\
        \u2013 Categor\xEDa MEDIA: op.exp.2.\n\u2013 Categor\xEDa ALTA: op.exp.2.\n\
        P\xE1gina 46"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.exp.2.3.a
      assessable: true
      depth: 7
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.exp.2.3
      ref_id: op.exp.2.3.a
      description: "Las medidas de seguridad ser\xE1n respetuosas con el usuario y\
        \ proteger\xE1n a \xE9ste, salvo que se exponga conscientemente a un riesgo."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: op.exp.2.\n\
        \u2013 Categor\xEDa MEDIA: op.exp.2.\n\u2013 Categor\xEDa ALTA: op.exp.2.\n\
        P\xE1gina 46"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.exp.2.3.b
      assessable: true
      depth: 7
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.exp.2.3
      ref_id: op.exp.2.3.b
      description: "Para reducir la seguridad, el usuario tendr\xE1 que realizar acciones\
        \ conscientes"
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: op.exp.2.\n\
        \u2013 Categor\xEDa MEDIA: op.exp.2.\n\u2013 Categor\xEDa ALTA: op.exp.2.\n\
        P\xE1gina 46"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.exp.2.3.c
      assessable: true
      depth: 7
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.exp.2.3
      ref_id: op.exp.2.3.c
      description: "El uso natural, en los casos que el usuario no ha consultado el\
        \ manual, ser\xE1 un uso seguro."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: op.exp.2.\n\
        \u2013 Categor\xEDa MEDIA: op.exp.2.\n\u2013 Categor\xEDa ALTA: op.exp.2.\n\
        P\xE1gina 46"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.exp.2.4
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node421
      ref_id: op.exp.2.4
      description: "Las m\xE1quinas virtuales estar\xE1n configuradas y gestionadas\
        \ de un modo seguro. La gesti\xF3n del parcheado, cuentas de usuarios, software\
        \ antivirus, etc. se realizar\xE1 como si se tratara de m\xE1quinas f\xED\
        sicas, incluyendo la m\xE1quina anfitriona."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: op.exp.2.\n\
        \u2013 Categor\xEDa MEDIA: op.exp.2.\n\u2013 Categor\xEDa ALTA: op.exp.2.\n\
        P\xE1gina 46"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.exp.3
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.exp
      ref_id: op.exp.3
      name: "Gesti\xF3n de la configuraci\xF3n de seguridad"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node432
      assessable: false
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.exp.3
      description: "Se gestionar\xE1 de forma continua la configuraci\xF3n de los\
        \ componentes del sistema, de forma que:"
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: op.exp.3.\n\
        \u2013 Categor\xEDa MEDIA: op.exp.3 + R1.\n\u2013 Categor\xEDa ALTA: op.exp.3\
        \ + R1 + R2 + R3.\nRefuerzo R1-Mantenimiento regular de la configuraci\xF3\
        n.\n\u2013 [op.exp.3.r1.1] Existir\xE1n configuraciones hardware/software,\
        \ autorizadas y mantenidas regularmente, para los servidores, elementos de\
        \ red y estaciones de trabajo.\n\u2013 [op.exp.3.r1.2] Se verificar\xE1 peri\xF3\
        dicamente la configuraci\xF3n hardware/software del sistema para asegurar\
        \ que no se han introducido ni instalado elementos no autorizados.\n\u2013\
        \ [op.exp.3.r1.3] Se mantendr\xE1 una lista de servicios autorizados para\
        \ servidores y estaciones de trabajo.\nRefuerzo R2-Responsabilidad de la configuraci\xF3\
        n.\n\u2013 [op.exp.3.r2.1] La configuraci\xF3n de seguridad del sistema operativo\
        \ y aplicaciones, tanto de estaciones y servidores como de la electr\xF3nica\
        \ de red del sistema, ser\xE1 responsabilidad de un n\xFAmero muy limitado\
        \ de administradores del sistema.\nRefuerzo R3-Copias de seguridad.\n\u2013\
        \ [op.exp.3.r3.1] Se realizar\xE1n copias de seguridad de la configuraci\xF3\
        n del sistema de forma que sea posible reconstruirlo en parte o en su totalidad\
        \ tras un incidente.\nRefuerzo R4-Aplicaci\xF3n de la configuraci\xF3n.\n\u2013\
        \ [op.exp.3.r4.1] La configuraci\xF3n de seguridad del sistema operativo y\
        \ de las aplicaciones se mantendr\xE1 actualizada a trav\xE9s de una aplicaci\xF3\
        n o procedimiento manual que permita la instalaci\xF3n de las correspondientes\
        \ modificaciones de versi\xF3n y actualizaciones de seguridad oportunas.\n\
        Refuerzo R5-Control del estado de seguridad de la Configuraci\xF3n.\n\u2013\
        \ [op.exp.3.r5.1] Se dispondr\xE1 de herramientas que permitan conocer de\
        \ forma peri\xF3dica el estado de seguridad de la configuraci\xF3n de los\
        \ dispositivos de red y, en el caso de que resulte deficiente, permitir su\
        \ correcci\xF3n.\nP\xE1gina 47"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.exp.3.1
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node432
      ref_id: op.exp.3.1
      description: "Se mantenga en todo momento la regla de \"funcionalidad m\xED\
        nima\" ([op.exp.2])."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: op.exp.3.\n\
        \u2013 Categor\xEDa MEDIA: op.exp.3 + R1.\n\u2013 Categor\xEDa ALTA: op.exp.3\
        \ + R1 + R2 + R3.\nRefuerzo R1-Mantenimiento regular de la configuraci\xF3\
        n.\n\u2013 [op.exp.3.r1.1] Existir\xE1n configuraciones hardware/software,\
        \ autorizadas y mantenidas regularmente, para los servidores, elementos de\
        \ red y estaciones de trabajo.\n\u2013 [op.exp.3.r1.2] Se verificar\xE1 peri\xF3\
        dicamente la configuraci\xF3n hardware/software del sistema para asegurar\
        \ que no se han introducido ni instalado elementos no autorizados.\n\u2013\
        \ [op.exp.3.r1.3] Se mantendr\xE1 una lista de servicios autorizados para\
        \ servidores y estaciones de trabajo.\nRefuerzo R2-Responsabilidad de la configuraci\xF3\
        n.\n\u2013 [op.exp.3.r2.1] La configuraci\xF3n de seguridad del sistema operativo\
        \ y aplicaciones, tanto de estaciones y servidores como de la electr\xF3nica\
        \ de red del sistema, ser\xE1 responsabilidad de un n\xFAmero muy limitado\
        \ de administradores del sistema.\nRefuerzo R3-Copias de seguridad.\n\u2013\
        \ [op.exp.3.r3.1] Se realizar\xE1n copias de seguridad de la configuraci\xF3\
        n del sistema de forma que sea posible reconstruirlo en parte o en su totalidad\
        \ tras un incidente.\nRefuerzo R4-Aplicaci\xF3n de la configuraci\xF3n.\n\u2013\
        \ [op.exp.3.r4.1] La configuraci\xF3n de seguridad del sistema operativo y\
        \ de las aplicaciones se mantendr\xE1 actualizada a trav\xE9s de una aplicaci\xF3\
        n o procedimiento manual que permita la instalaci\xF3n de las correspondientes\
        \ modificaciones de versi\xF3n y actualizaciones de seguridad oportunas.\n\
        Refuerzo R5-Control del estado de seguridad de la Configuraci\xF3n.\n\u2013\
        \ [op.exp.3.r5.1] Se dispondr\xE1 de herramientas que permitan conocer de\
        \ forma peri\xF3dica el estado de seguridad de la configuraci\xF3n de los\
        \ dispositivos de red y, en el caso de que resulte deficiente, permitir su\
        \ correcci\xF3n.\nP\xE1gina 47"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.exp.3.2
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node432
      ref_id: op.exp.3.2
      description: "Se mantenga en todo momento la regla de \"m\xEDnimo privilegio\"\
        \ ([op.exp.2])."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: op.exp.3.\n\
        \u2013 Categor\xEDa MEDIA: op.exp.3 + R1.\n\u2013 Categor\xEDa ALTA: op.exp.3\
        \ + R1 + R2 + R3.\nRefuerzo R1-Mantenimiento regular de la configuraci\xF3\
        n.\n\u2013 [op.exp.3.r1.1] Existir\xE1n configuraciones hardware/software,\
        \ autorizadas y mantenidas regularmente, para los servidores, elementos de\
        \ red y estaciones de trabajo.\n\u2013 [op.exp.3.r1.2] Se verificar\xE1 peri\xF3\
        dicamente la configuraci\xF3n hardware/software del sistema para asegurar\
        \ que no se han introducido ni instalado elementos no autorizados.\n\u2013\
        \ [op.exp.3.r1.3] Se mantendr\xE1 una lista de servicios autorizados para\
        \ servidores y estaciones de trabajo.\nRefuerzo R2-Responsabilidad de la configuraci\xF3\
        n.\n\u2013 [op.exp.3.r2.1] La configuraci\xF3n de seguridad del sistema operativo\
        \ y aplicaciones, tanto de estaciones y servidores como de la electr\xF3nica\
        \ de red del sistema, ser\xE1 responsabilidad de un n\xFAmero muy limitado\
        \ de administradores del sistema.\nRefuerzo R3-Copias de seguridad.\n\u2013\
        \ [op.exp.3.r3.1] Se realizar\xE1n copias de seguridad de la configuraci\xF3\
        n del sistema de forma que sea posible reconstruirlo en parte o en su totalidad\
        \ tras un incidente.\nRefuerzo R4-Aplicaci\xF3n de la configuraci\xF3n.\n\u2013\
        \ [op.exp.3.r4.1] La configuraci\xF3n de seguridad del sistema operativo y\
        \ de las aplicaciones se mantendr\xE1 actualizada a trav\xE9s de una aplicaci\xF3\
        n o procedimiento manual que permita la instalaci\xF3n de las correspondientes\
        \ modificaciones de versi\xF3n y actualizaciones de seguridad oportunas.\n\
        Refuerzo R5-Control del estado de seguridad de la Configuraci\xF3n.\n\u2013\
        \ [op.exp.3.r5.1] Se dispondr\xE1 de herramientas que permitan conocer de\
        \ forma peri\xF3dica el estado de seguridad de la configuraci\xF3n de los\
        \ dispositivos de red y, en el caso de que resulte deficiente, permitir su\
        \ correcci\xF3n.\nP\xE1gina 47"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.exp.3.3
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node432
      ref_id: op.exp.3.3
      description: El sistema se adapte a las nuevas necesidades, previamente autorizadas.
        (Ver [op.acc.4]).
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: op.exp.3.\n\
        \u2013 Categor\xEDa MEDIA: op.exp.3 + R1.\n\u2013 Categor\xEDa ALTA: op.exp.3\
        \ + R1 + R2 + R3.\nRefuerzo R1-Mantenimiento regular de la configuraci\xF3\
        n.\n\u2013 [op.exp.3.r1.1] Existir\xE1n configuraciones hardware/software,\
        \ autorizadas y mantenidas regularmente, para los servidores, elementos de\
        \ red y estaciones de trabajo.\n\u2013 [op.exp.3.r1.2] Se verificar\xE1 peri\xF3\
        dicamente la configuraci\xF3n hardware/software del sistema para asegurar\
        \ que no se han introducido ni instalado elementos no autorizados.\n\u2013\
        \ [op.exp.3.r1.3] Se mantendr\xE1 una lista de servicios autorizados para\
        \ servidores y estaciones de trabajo.\nRefuerzo R2-Responsabilidad de la configuraci\xF3\
        n.\n\u2013 [op.exp.3.r2.1] La configuraci\xF3n de seguridad del sistema operativo\
        \ y aplicaciones, tanto de estaciones y servidores como de la electr\xF3nica\
        \ de red del sistema, ser\xE1 responsabilidad de un n\xFAmero muy limitado\
        \ de administradores del sistema.\nRefuerzo R3-Copias de seguridad.\n\u2013\
        \ [op.exp.3.r3.1] Se realizar\xE1n copias de seguridad de la configuraci\xF3\
        n del sistema de forma que sea posible reconstruirlo en parte o en su totalidad\
        \ tras un incidente.\nRefuerzo R4-Aplicaci\xF3n de la configuraci\xF3n.\n\u2013\
        \ [op.exp.3.r4.1] La configuraci\xF3n de seguridad del sistema operativo y\
        \ de las aplicaciones se mantendr\xE1 actualizada a trav\xE9s de una aplicaci\xF3\
        n o procedimiento manual que permita la instalaci\xF3n de las correspondientes\
        \ modificaciones de versi\xF3n y actualizaciones de seguridad oportunas.\n\
        Refuerzo R5-Control del estado de seguridad de la Configuraci\xF3n.\n\u2013\
        \ [op.exp.3.r5.1] Se dispondr\xE1 de herramientas que permitan conocer de\
        \ forma peri\xF3dica el estado de seguridad de la configuraci\xF3n de los\
        \ dispositivos de red y, en el caso de que resulte deficiente, permitir su\
        \ correcci\xF3n.\nP\xE1gina 47"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.exp.3.4
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node432
      ref_id: op.exp.3.4
      description: El sistema reaccione a vulnerabilidades notificadas. (Ver [op.exp.4]).
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: op.exp.3.\n\
        \u2013 Categor\xEDa MEDIA: op.exp.3 + R1.\n\u2013 Categor\xEDa ALTA: op.exp.3\
        \ + R1 + R2 + R3.\nRefuerzo R1-Mantenimiento regular de la configuraci\xF3\
        n.\n\u2013 [op.exp.3.r1.1] Existir\xE1n configuraciones hardware/software,\
        \ autorizadas y mantenidas regularmente, para los servidores, elementos de\
        \ red y estaciones de trabajo.\n\u2013 [op.exp.3.r1.2] Se verificar\xE1 peri\xF3\
        dicamente la configuraci\xF3n hardware/software del sistema para asegurar\
        \ que no se han introducido ni instalado elementos no autorizados.\n\u2013\
        \ [op.exp.3.r1.3] Se mantendr\xE1 una lista de servicios autorizados para\
        \ servidores y estaciones de trabajo.\nRefuerzo R2-Responsabilidad de la configuraci\xF3\
        n.\n\u2013 [op.exp.3.r2.1] La configuraci\xF3n de seguridad del sistema operativo\
        \ y aplicaciones, tanto de estaciones y servidores como de la electr\xF3nica\
        \ de red del sistema, ser\xE1 responsabilidad de un n\xFAmero muy limitado\
        \ de administradores del sistema.\nRefuerzo R3-Copias de seguridad.\n\u2013\
        \ [op.exp.3.r3.1] Se realizar\xE1n copias de seguridad de la configuraci\xF3\
        n del sistema de forma que sea posible reconstruirlo en parte o en su totalidad\
        \ tras un incidente.\nRefuerzo R4-Aplicaci\xF3n de la configuraci\xF3n.\n\u2013\
        \ [op.exp.3.r4.1] La configuraci\xF3n de seguridad del sistema operativo y\
        \ de las aplicaciones se mantendr\xE1 actualizada a trav\xE9s de una aplicaci\xF3\
        n o procedimiento manual que permita la instalaci\xF3n de las correspondientes\
        \ modificaciones de versi\xF3n y actualizaciones de seguridad oportunas.\n\
        Refuerzo R5-Control del estado de seguridad de la Configuraci\xF3n.\n\u2013\
        \ [op.exp.3.r5.1] Se dispondr\xE1 de herramientas que permitan conocer de\
        \ forma peri\xF3dica el estado de seguridad de la configuraci\xF3n de los\
        \ dispositivos de red y, en el caso de que resulte deficiente, permitir su\
        \ correcci\xF3n.\nP\xE1gina 47"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.exp.3.5
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node432
      ref_id: op.exp.3.5
      description: El sistema reaccione a incidentes. (Ver [op.exp.7]).
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: op.exp.3.\n\
        \u2013 Categor\xEDa MEDIA: op.exp.3 + R1.\n\u2013 Categor\xEDa ALTA: op.exp.3\
        \ + R1 + R2 + R3.\nRefuerzo R1-Mantenimiento regular de la configuraci\xF3\
        n.\n\u2013 [op.exp.3.r1.1] Existir\xE1n configuraciones hardware/software,\
        \ autorizadas y mantenidas regularmente, para los servidores, elementos de\
        \ red y estaciones de trabajo.\n\u2013 [op.exp.3.r1.2] Se verificar\xE1 peri\xF3\
        dicamente la configuraci\xF3n hardware/software del sistema para asegurar\
        \ que no se han introducido ni instalado elementos no autorizados.\n\u2013\
        \ [op.exp.3.r1.3] Se mantendr\xE1 una lista de servicios autorizados para\
        \ servidores y estaciones de trabajo.\nRefuerzo R2-Responsabilidad de la configuraci\xF3\
        n.\n\u2013 [op.exp.3.r2.1] La configuraci\xF3n de seguridad del sistema operativo\
        \ y aplicaciones, tanto de estaciones y servidores como de la electr\xF3nica\
        \ de red del sistema, ser\xE1 responsabilidad de un n\xFAmero muy limitado\
        \ de administradores del sistema.\nRefuerzo R3-Copias de seguridad.\n\u2013\
        \ [op.exp.3.r3.1] Se realizar\xE1n copias de seguridad de la configuraci\xF3\
        n del sistema de forma que sea posible reconstruirlo en parte o en su totalidad\
        \ tras un incidente.\nRefuerzo R4-Aplicaci\xF3n de la configuraci\xF3n.\n\u2013\
        \ [op.exp.3.r4.1] La configuraci\xF3n de seguridad del sistema operativo y\
        \ de las aplicaciones se mantendr\xE1 actualizada a trav\xE9s de una aplicaci\xF3\
        n o procedimiento manual que permita la instalaci\xF3n de las correspondientes\
        \ modificaciones de versi\xF3n y actualizaciones de seguridad oportunas.\n\
        Refuerzo R5-Control del estado de seguridad de la Configuraci\xF3n.\n\u2013\
        \ [op.exp.3.r5.1] Se dispondr\xE1 de herramientas que permitan conocer de\
        \ forma peri\xF3dica el estado de seguridad de la configuraci\xF3n de los\
        \ dispositivos de red y, en el caso de que resulte deficiente, permitir su\
        \ correcci\xF3n.\nP\xE1gina 47"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.exp.3.6
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node432
      ref_id: op.exp.3.6
      description: "La configuraci\xF3n de seguridad solamente podr\xE1 editarse por\
        \ personal debidamente autorizado."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: op.exp.3.\n\
        \u2013 Categor\xEDa MEDIA: op.exp.3 + R1.\n\u2013 Categor\xEDa ALTA: op.exp.3\
        \ + R1 + R2 + R3.\nRefuerzo R1-Mantenimiento regular de la configuraci\xF3\
        n.\n\u2013 [op.exp.3.r1.1] Existir\xE1n configuraciones hardware/software,\
        \ autorizadas y mantenidas regularmente, para los servidores, elementos de\
        \ red y estaciones de trabajo.\n\u2013 [op.exp.3.r1.2] Se verificar\xE1 peri\xF3\
        dicamente la configuraci\xF3n hardware/software del sistema para asegurar\
        \ que no se han introducido ni instalado elementos no autorizados.\n\u2013\
        \ [op.exp.3.r1.3] Se mantendr\xE1 una lista de servicios autorizados para\
        \ servidores y estaciones de trabajo.\nRefuerzo R2-Responsabilidad de la configuraci\xF3\
        n.\n\u2013 [op.exp.3.r2.1] La configuraci\xF3n de seguridad del sistema operativo\
        \ y aplicaciones, tanto de estaciones y servidores como de la electr\xF3nica\
        \ de red del sistema, ser\xE1 responsabilidad de un n\xFAmero muy limitado\
        \ de administradores del sistema.\nRefuerzo R3-Copias de seguridad.\n\u2013\
        \ [op.exp.3.r3.1] Se realizar\xE1n copias de seguridad de la configuraci\xF3\
        n del sistema de forma que sea posible reconstruirlo en parte o en su totalidad\
        \ tras un incidente.\nRefuerzo R4-Aplicaci\xF3n de la configuraci\xF3n.\n\u2013\
        \ [op.exp.3.r4.1] La configuraci\xF3n de seguridad del sistema operativo y\
        \ de las aplicaciones se mantendr\xE1 actualizada a trav\xE9s de una aplicaci\xF3\
        n o procedimiento manual que permita la instalaci\xF3n de las correspondientes\
        \ modificaciones de versi\xF3n y actualizaciones de seguridad oportunas.\n\
        Refuerzo R5-Control del estado de seguridad de la Configuraci\xF3n.\n\u2013\
        \ [op.exp.3.r5.1] Se dispondr\xE1 de herramientas que permitan conocer de\
        \ forma peri\xF3dica el estado de seguridad de la configuraci\xF3n de los\
        \ dispositivos de red y, en el caso de que resulte deficiente, permitir su\
        \ correcci\xF3n.\nP\xE1gina 47"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.exp.4
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.exp
      ref_id: op.exp.4
      name: Mantenimiento y actualizaciones de seguridad
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node440
      assessable: false
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.exp.4
      description: "Para mantener el equipamiento f\xEDsico y l\xF3gico que constituye\
        \ el sistema, se aplicar\xE1 lo siguiente:"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.exp.4.1
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node440
      ref_id: op.exp.4.1
      description: "Se atender\xE1 a las especificaciones de los fabricantes en lo\
        \ relativo a instalaci\xF3n y mantenimiento de los sistemas, lo que incluir\xE1\
        \ un seguimiento continuo de los anuncios de defectos"
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: op.exp.4.\n\
        \u2013 Categor\xEDa MEDIA: op.exp.4 + R1.\n\u2013 Categor\xEDa ALTA: op.exp.4\
        \ + R1 + R2.\nRefuerzo R1-Pruebas en preproducci\xF3n.\n[op.exp.4.r1.1] Antes\
        \ de poner en producci\xF3n una nueva versi\xF3n o una versi\xF3n parcheada,\
        \ se comprobar\xE1 en un entorno de prueba controlado y consistente en configuraci\xF3\
        n al entorno de producci\xF3n, que la nueva instalaci\xF3n funciona correctamente\
        \ y no disminuye la eficacia de las funciones necesarias para el trabajo diario.\n\
        Refuerzo R2-Prevenci\xF3n de fallos.\n[op.exp.4.r2.1] Antes de la aplicaci\xF3\
        n de las configuraciones, parches y actualizaciones de seguridad se prever\xE1\
        \ un mecanismo para revertirlos en caso de aparici\xF3n de efectos adversos.\n\
        Refuerzo R3-Actualizaciones y pruebas peri\xF3dicas.\n[op.exp.4.r3.1] Se deber\xE1\
        \ comprobar de forma peri\xF3dica la integridad del firmware utilizado en\
        \ los dispositivos hardware del sistema (infraestructura de red, BIOS, etc.).\
        \ La periodicidad de estas comprobaciones seguir\xE1 las recomendaciones de\
        \ la Gu\xEDa CCN-STIC que sea de aplicaci\xF3n.\nRefuerzo R4 - Monitorizaci\xF3\
        n continua.\n[op.exp.4.r4.1] Se desplegar\xE1 a nivel de sistema una estrategia\
        \ de monitorizaci\xF3n continua de amenazas y vulnerabilidades. Esta estrategia\
        \ detallar\xE1:\n1. Los indicadores cr\xEDticos de seguridad a emplear.\n\
        2. La pol\xEDtica de aplicaci\xF3n de parches de seguridad de los componentes\
        \ software relacionados en las listas de [op.exp.1.r4], [op.ext.3.r3] y [mp.sw.1.r5]).\n\
        3. Los criterios de revisi\xF3n regular y excepcional de las amenazas sobre\
        \ el sistema.\nP\xE1gina 48"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.exp.4.2
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node440
      ref_id: op.exp.4.2
      description: "Se dispondr\xE1 de un procedimiento para analizar, priorizar y\
        \ determinar cu\xE1ndo aplicar las actualizaciones de seguridad, parches,\
        \ mejoras y nuevas versiones. La priorizaci\xF3n tendr\xE1 en cuenta la variaci\xF3\
        n del riesgo en funci\xF3n de la implantaci\xF3n o no de la actualizaci\xF3\
        n."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: op.exp.4.\n\
        \u2013 Categor\xEDa MEDIA: op.exp.4 + R1.\n\u2013 Categor\xEDa ALTA: op.exp.4\
        \ + R1 + R2.\nRefuerzo R1-Pruebas en preproducci\xF3n.\n[op.exp.4.r1.1] Antes\
        \ de poner en producci\xF3n una nueva versi\xF3n o una versi\xF3n parcheada,\
        \ se comprobar\xE1 en un entorno de prueba controlado y consistente en configuraci\xF3\
        n al entorno de producci\xF3n, que la nueva instalaci\xF3n funciona correctamente\
        \ y no disminuye la eficacia de las funciones necesarias para el trabajo diario.\n\
        Refuerzo R2-Prevenci\xF3n de fallos.\n[op.exp.4.r2.1] Antes de la aplicaci\xF3\
        n de las configuraciones, parches y actualizaciones de seguridad se prever\xE1\
        \ un mecanismo para revertirlos en caso de aparici\xF3n de efectos adversos.\n\
        Refuerzo R3-Actualizaciones y pruebas peri\xF3dicas.\n[op.exp.4.r3.1] Se deber\xE1\
        \ comprobar de forma peri\xF3dica la integridad del firmware utilizado en\
        \ los dispositivos hardware del sistema (infraestructura de red, BIOS, etc.).\
        \ La periodicidad de estas comprobaciones seguir\xE1 las recomendaciones de\
        \ la Gu\xEDa CCN-STIC que sea de aplicaci\xF3n.\nRefuerzo R4 - Monitorizaci\xF3\
        n continua.\n[op.exp.4.r4.1] Se desplegar\xE1 a nivel de sistema una estrategia\
        \ de monitorizaci\xF3n continua de amenazas y vulnerabilidades. Esta estrategia\
        \ detallar\xE1:\n1. Los indicadores cr\xEDticos de seguridad a emplear.\n\
        2. La pol\xEDtica de aplicaci\xF3n de parches de seguridad de los componentes\
        \ software relacionados en las listas de [op.exp.1.r4], [op.ext.3.r3] y [mp.sw.1.r5]).\n\
        3. Los criterios de revisi\xF3n regular y excepcional de las amenazas sobre\
        \ el sistema.\nP\xE1gina 48"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.exp.4.3
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node440
      ref_id: op.exp.4.3
      description: "El mantenimiento solo podr\xE1 realizarse por personal debidamente\
        \ autorizado."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: op.exp.4.\n\
        \u2013 Categor\xEDa MEDIA: op.exp.4 + R1.\n\u2013 Categor\xEDa ALTA: op.exp.4\
        \ + R1 + R2.\nRefuerzo R1-Pruebas en preproducci\xF3n.\n[op.exp.4.r1.1] Antes\
        \ de poner en producci\xF3n una nueva versi\xF3n o una versi\xF3n parcheada,\
        \ se comprobar\xE1 en un entorno de prueba controlado y consistente en configuraci\xF3\
        n al entorno de producci\xF3n, que la nueva instalaci\xF3n funciona correctamente\
        \ y no disminuye la eficacia de las funciones necesarias para el trabajo diario.\n\
        Refuerzo R2-Prevenci\xF3n de fallos.\n[op.exp.4.r2.1] Antes de la aplicaci\xF3\
        n de las configuraciones, parches y actualizaciones de seguridad se prever\xE1\
        \ un mecanismo para revertirlos en caso de aparici\xF3n de efectos adversos.\n\
        Refuerzo R3-Actualizaciones y pruebas peri\xF3dicas.\n[op.exp.4.r3.1] Se deber\xE1\
        \ comprobar de forma peri\xF3dica la integridad del firmware utilizado en\
        \ los dispositivos hardware del sistema (infraestructura de red, BIOS, etc.).\
        \ La periodicidad de estas comprobaciones seguir\xE1 las recomendaciones de\
        \ la Gu\xEDa CCN-STIC que sea de aplicaci\xF3n.\nRefuerzo R4 - Monitorizaci\xF3\
        n continua.\n[op.exp.4.r4.1] Se desplegar\xE1 a nivel de sistema una estrategia\
        \ de monitorizaci\xF3n continua de amenazas y vulnerabilidades. Esta estrategia\
        \ detallar\xE1:\n1. Los indicadores cr\xEDticos de seguridad a emplear.\n\
        2. La pol\xEDtica de aplicaci\xF3n de parches de seguridad de los componentes\
        \ software relacionados en las listas de [op.exp.1.r4], [op.ext.3.r3] y [mp.sw.1.r5]).\n\
        3. Los criterios de revisi\xF3n regular y excepcional de las amenazas sobre\
        \ el sistema.\nP\xE1gina 48"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.exp.5
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.exp
      ref_id: op.exp.5
      name: "Gesti\xF3n de cambios"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node445
      assessable: false
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.exp.5
      description: "Se mantendr\xE1 un control continuo de los cambios realizados\
        \ en el sistema, de forma que:"
      implementation_groups:
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.exp.5.1
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node445
      ref_id: op.exp.5.1
      description: "Los cambios se planificar\xE1n para reducir el impacto sobre la\
        \ prestaci\xF3n de los servicios afectados. Para ello, todas las peticiones\
        \ de cambio se registrar\xE1n asignando un n\xFAmero de referencia que permita\
        \ su seguimiento, de forma equivalente al registro de los incidentes."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: no\
        \ aplica.\n\u2013 Categor\xEDa MEDIA: op.exp.5.\n\u2013 Categor\xEDa ALTA:\
        \ op.exp.5+ R1.\nRefuerzo R1-Prevenci\xF3n de fallos.\n\u2013 [op.exp.5.r1.1]\
        \ Antes de la aplicaci\xF3n de los cambios, se deber\xE1 tener en cuenta la\
        \ posibilidad de revertirlos en caso de la aparici\xF3n de efectos adversos.\n\
        \u2013 [op.exp.5.r1.2] Todos los fallos en el software y hardware deber\xE1\
        n ser comunicados al responsable designado en la organizaci\xF3n de la seguridad.\n\
        \u2013 [op.exp.5.r1.3] Todos los cambios en el sistema deber\xE1n documentarse,\
        \ incluyendo una valoraci\xF3n del impacto que dicho cambio supone en la seguridad\
        \ del sistema.\nP\xE1gina 49"
      implementation_groups:
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.exp.5.2
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node445
      ref_id: op.exp.5.2
      description: " La informaci\xF3n a registrar para cada petici\xF3n de cambio\
        \ ser\xE1 suficiente para que quien deba autorizarlos no tenga dudas al respecto\
        \ y permita gestionarlo hasta su desestimaci\xF3n o implementaci\xF3n."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: no\
        \ aplica.\n\u2013 Categor\xEDa MEDIA: op.exp.5.\n\u2013 Categor\xEDa ALTA:\
        \ op.exp.5+ R1.\nRefuerzo R1-Prevenci\xF3n de fallos.\n\u2013 [op.exp.5.r1.1]\
        \ Antes de la aplicaci\xF3n de los cambios, se deber\xE1 tener en cuenta la\
        \ posibilidad de revertirlos en caso de la aparici\xF3n de efectos adversos.\n\
        \u2013 [op.exp.5.r1.2] Todos los fallos en el software y hardware deber\xE1\
        n ser comunicados al responsable designado en la organizaci\xF3n de la seguridad.\n\
        \u2013 [op.exp.5.r1.3] Todos los cambios en el sistema deber\xE1n documentarse,\
        \ incluyendo una valoraci\xF3n del impacto que dicho cambio supone en la seguridad\
        \ del sistema.\nP\xE1gina 49"
      implementation_groups:
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.exp.5.3
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node445
      ref_id: op.exp.5.3
      description: "Las pruebas de preproducci\xF3n, siempre que sea posible realizarlas,\
        \ se efectuar\xE1n en equipos equivalentes a los de producci\xF3n, al menos\
        \ en los aspectos espec\xEDficos del cambio."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: no\
        \ aplica.\n\u2013 Categor\xEDa MEDIA: op.exp.5.\n\u2013 Categor\xEDa ALTA:\
        \ op.exp.5+ R1.\nRefuerzo R1-Prevenci\xF3n de fallos.\n\u2013 [op.exp.5.r1.1]\
        \ Antes de la aplicaci\xF3n de los cambios, se deber\xE1 tener en cuenta la\
        \ posibilidad de revertirlos en caso de la aparici\xF3n de efectos adversos.\n\
        \u2013 [op.exp.5.r1.2] Todos los fallos en el software y hardware deber\xE1\
        n ser comunicados al responsable designado en la organizaci\xF3n de la seguridad.\n\
        \u2013 [op.exp.5.r1.3] Todos los cambios en el sistema deber\xE1n documentarse,\
        \ incluyendo una valoraci\xF3n del impacto que dicho cambio supone en la seguridad\
        \ del sistema.\nP\xE1gina 49"
      implementation_groups:
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.exp.5.4
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node445
      ref_id: op.exp.5.4
      description: "Mediante un an\xE1lisis de riesgos se determinar\xE1 si los cambios\
        \ son relevantes para la seguridad del sistema. Aquellos cambios que impliquen\
        \ un riesgo de nivel ALTO deber\xE1n ser aprobados, expl\xEDcitamente, de\
        \ forma previa a su implantaci\xF3n, por el Responsable de la Seguridad."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: no\
        \ aplica.\n\u2013 Categor\xEDa MEDIA: op.exp.5.\n\u2013 Categor\xEDa ALTA:\
        \ op.exp.5+ R1.\nRefuerzo R1-Prevenci\xF3n de fallos.\n\u2013 [op.exp.5.r1.1]\
        \ Antes de la aplicaci\xF3n de los cambios, se deber\xE1 tener en cuenta la\
        \ posibilidad de revertirlos en caso de la aparici\xF3n de efectos adversos.\n\
        \u2013 [op.exp.5.r1.2] Todos los fallos en el software y hardware deber\xE1\
        n ser comunicados al responsable designado en la organizaci\xF3n de la seguridad.\n\
        \u2013 [op.exp.5.r1.3] Todos los cambios en el sistema deber\xE1n documentarse,\
        \ incluyendo una valoraci\xF3n del impacto que dicho cambio supone en la seguridad\
        \ del sistema.\nP\xE1gina 49"
      implementation_groups:
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.exp.5.5
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node445
      ref_id: op.exp.5.5
      description: "Una vez implementado el cambio, se realizar\xE1n las pruebas de\
        \ aceptaci\xF3n convenientes. Si son positivas, se actualizar\xE1 la documentaci\xF3\
        n de configuraci\xF3n (diagramas de red, manuales, el inventario, etc.), siempre\
        \ que proceda."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: no\
        \ aplica.\n\u2013 Categor\xEDa MEDIA: op.exp.5.\n\u2013 Categor\xEDa ALTA:\
        \ op.exp.5+ R1.\nRefuerzo R1-Prevenci\xF3n de fallos.\n\u2013 [op.exp.5.r1.1]\
        \ Antes de la aplicaci\xF3n de los cambios, se deber\xE1 tener en cuenta la\
        \ posibilidad de revertirlos en caso de la aparici\xF3n de efectos adversos.\n\
        \u2013 [op.exp.5.r1.2] Todos los fallos en el software y hardware deber\xE1\
        n ser comunicados al responsable designado en la organizaci\xF3n de la seguridad.\n\
        \u2013 [op.exp.5.r1.3] Todos los cambios en el sistema deber\xE1n documentarse,\
        \ incluyendo una valoraci\xF3n del impacto que dicho cambio supone en la seguridad\
        \ del sistema.\nP\xE1gina 49"
      implementation_groups:
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.exp.6
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.exp
      ref_id: op.exp.6
      name: "Protecci\xF3n frente a c\xF3digo da\xF1ino"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.exp.6.1
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.exp.6
      ref_id: op.exp.6.1
      description: "Se dispondr\xE1 de mecanismos de prevenci\xF3n y reacci\xF3n frente\
        \ a c\xF3digo da\xF1ino, incluyendo el correspondiente mantenimiento de acuerdo\
        \ a las recomendaciones del fabricante."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: op.exp.6.\n\
        \u2013 Categor\xEDa MEDIA: op.exp.6+ R1 + R2.\n\u2013 Categor\xEDa ALTA: op.exp.6+\
        \ R1 + R2 + R3 + R4.\nRefuerzo R1-Escaneo peri\xF3dico.\n\u2013 [op.exp.6.r1.1]\
        \ Todo el sistema se escanear\xE1 regularmente para detectar c\xF3digo da\xF1\
        ino.\nRefuerzo R2-Revisi\xF3n preventiva del sistema.\n\u2013 [op.exp.6.r2.1]\
        \ Las funciones cr\xEDticas se analizar\xE1n al arrancar el sistema en prevenci\xF3\
        n de modificaciones no autorizadas.\nRefuerzo R3 - Lista blanca.\n\u2013 [op.exp.6.r3.1]\
        \ Solamente se podr\xE1n ejecutar aquellas aplicaciones previamente autorizadas.\
        \ Se implementar\xE1 una lista blanca para impedir la ejecuci\xF3n de aplicaciones\
        \ no autorizadas.\nRefuerzo R4-Capacidad de respuesta en caso de incidente.\n\
        \u2013 [op.exp.6.r4.1] Se emplear\xE1n herramientas de seguridad orientadas\
        \ a detectar,investigar y resolver actividades sospechosas en puestos de usuario\
        \ y servidores (EDR - Endpoint Detection and Response).\nRefuerzo R5-Configuraci\xF3\
        n de la herramienta de detecci\xF3n de c\xF3digo da\xF1ino.\n\u2013 [op.exp.6.r5.1]\
        \ El software de detecci\xF3n de c\xF3digo da\xF1ino permitir\xE1 realizar\
        \ configuraciones avanzadas y revisar el sistema en el arranque y cada vez\
        \ que se conecte un dispositivo extra\xEDble.\n\u2013 [op.exp.6.r5.2] El software\
        \ de detecci\xF3n de c\xF3digo da\xF1ino instalado en servidores y elementos\
        \ perimetrales deber\xE1 estar configurado de forma adecuada e implementar\xE1\
        \ protecci\xF3n en tiempo real de acuerdo a las recomendaciones del fabricante.\n\
        P\xE1gina 50"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.exp.6.2
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.exp.6
      ref_id: op.exp.6.2
      description: "Se instalar\xE1 software de protecci\xF3n frente a c\xF3digo da\xF1\
        ino en todos los equipos: puestos de usuario, servidores y elementos perimetrales."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: op.exp.6.\n\
        \u2013 Categor\xEDa MEDIA: op.exp.6+ R1 + R2.\n\u2013 Categor\xEDa ALTA: op.exp.6+\
        \ R1 + R2 + R3 + R4.\nRefuerzo R1-Escaneo peri\xF3dico.\n\u2013 [op.exp.6.r1.1]\
        \ Todo el sistema se escanear\xE1 regularmente para detectar c\xF3digo da\xF1\
        ino.\nRefuerzo R2-Revisi\xF3n preventiva del sistema.\n\u2013 [op.exp.6.r2.1]\
        \ Las funciones cr\xEDticas se analizar\xE1n al arrancar el sistema en prevenci\xF3\
        n de modificaciones no autorizadas.\nRefuerzo R3 - Lista blanca.\n\u2013 [op.exp.6.r3.1]\
        \ Solamente se podr\xE1n ejecutar aquellas aplicaciones previamente autorizadas.\
        \ Se implementar\xE1 una lista blanca para impedir la ejecuci\xF3n de aplicaciones\
        \ no autorizadas.\nRefuerzo R4-Capacidad de respuesta en caso de incidente.\n\
        \u2013 [op.exp.6.r4.1] Se emplear\xE1n herramientas de seguridad orientadas\
        \ a detectar,investigar y resolver actividades sospechosas en puestos de usuario\
        \ y servidores (EDR - Endpoint Detection and Response).\nRefuerzo R5-Configuraci\xF3\
        n de la herramienta de detecci\xF3n de c\xF3digo da\xF1ino.\n\u2013 [op.exp.6.r5.1]\
        \ El software de detecci\xF3n de c\xF3digo da\xF1ino permitir\xE1 realizar\
        \ configuraciones avanzadas y revisar el sistema en el arranque y cada vez\
        \ que se conecte un dispositivo extra\xEDble.\n\u2013 [op.exp.6.r5.2] El software\
        \ de detecci\xF3n de c\xF3digo da\xF1ino instalado en servidores y elementos\
        \ perimetrales deber\xE1 estar configurado de forma adecuada e implementar\xE1\
        \ protecci\xF3n en tiempo real de acuerdo a las recomendaciones del fabricante.\n\
        P\xE1gina 50"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.exp.6.3
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.exp.6
      ref_id: op.exp.6.3
      description: "Todo fichero procedente de fuentes externas ser\xE1 analizado\
        \ antes de trabajar con \xE9l."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: op.exp.6.\n\
        \u2013 Categor\xEDa MEDIA: op.exp.6+ R1 + R2.\n\u2013 Categor\xEDa ALTA: op.exp.6+\
        \ R1 + R2 + R3 + R4.\nRefuerzo R1-Escaneo peri\xF3dico.\n\u2013 [op.exp.6.r1.1]\
        \ Todo el sistema se escanear\xE1 regularmente para detectar c\xF3digo da\xF1\
        ino.\nRefuerzo R2-Revisi\xF3n preventiva del sistema.\n\u2013 [op.exp.6.r2.1]\
        \ Las funciones cr\xEDticas se analizar\xE1n al arrancar el sistema en prevenci\xF3\
        n de modificaciones no autorizadas.\nRefuerzo R3 - Lista blanca.\n\u2013 [op.exp.6.r3.1]\
        \ Solamente se podr\xE1n ejecutar aquellas aplicaciones previamente autorizadas.\
        \ Se implementar\xE1 una lista blanca para impedir la ejecuci\xF3n de aplicaciones\
        \ no autorizadas.\nRefuerzo R4-Capacidad de respuesta en caso de incidente.\n\
        \u2013 [op.exp.6.r4.1] Se emplear\xE1n herramientas de seguridad orientadas\
        \ a detectar,investigar y resolver actividades sospechosas en puestos de usuario\
        \ y servidores (EDR - Endpoint Detection and Response).\nRefuerzo R5-Configuraci\xF3\
        n de la herramienta de detecci\xF3n de c\xF3digo da\xF1ino.\n\u2013 [op.exp.6.r5.1]\
        \ El software de detecci\xF3n de c\xF3digo da\xF1ino permitir\xE1 realizar\
        \ configuraciones avanzadas y revisar el sistema en el arranque y cada vez\
        \ que se conecte un dispositivo extra\xEDble.\n\u2013 [op.exp.6.r5.2] El software\
        \ de detecci\xF3n de c\xF3digo da\xF1ino instalado en servidores y elementos\
        \ perimetrales deber\xE1 estar configurado de forma adecuada e implementar\xE1\
        \ protecci\xF3n en tiempo real de acuerdo a las recomendaciones del fabricante.\n\
        P\xE1gina 50"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.exp.6.4
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.exp.6
      ref_id: op.exp.6.4
      description: "Las bases de datos de detecci\xF3n de c\xF3digo da\xF1ino permanecer\xE1\
        n permanentemente actualizadas."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: op.exp.6.\n\
        \u2013 Categor\xEDa MEDIA: op.exp.6+ R1 + R2.\n\u2013 Categor\xEDa ALTA: op.exp.6+\
        \ R1 + R2 + R3 + R4.\nRefuerzo R1-Escaneo peri\xF3dico.\n\u2013 [op.exp.6.r1.1]\
        \ Todo el sistema se escanear\xE1 regularmente para detectar c\xF3digo da\xF1\
        ino.\nRefuerzo R2-Revisi\xF3n preventiva del sistema.\n\u2013 [op.exp.6.r2.1]\
        \ Las funciones cr\xEDticas se analizar\xE1n al arrancar el sistema en prevenci\xF3\
        n de modificaciones no autorizadas.\nRefuerzo R3 - Lista blanca.\n\u2013 [op.exp.6.r3.1]\
        \ Solamente se podr\xE1n ejecutar aquellas aplicaciones previamente autorizadas.\
        \ Se implementar\xE1 una lista blanca para impedir la ejecuci\xF3n de aplicaciones\
        \ no autorizadas.\nRefuerzo R4-Capacidad de respuesta en caso de incidente.\n\
        \u2013 [op.exp.6.r4.1] Se emplear\xE1n herramientas de seguridad orientadas\
        \ a detectar,investigar y resolver actividades sospechosas en puestos de usuario\
        \ y servidores (EDR - Endpoint Detection and Response).\nRefuerzo R5-Configuraci\xF3\
        n de la herramienta de detecci\xF3n de c\xF3digo da\xF1ino.\n\u2013 [op.exp.6.r5.1]\
        \ El software de detecci\xF3n de c\xF3digo da\xF1ino permitir\xE1 realizar\
        \ configuraciones avanzadas y revisar el sistema en el arranque y cada vez\
        \ que se conecte un dispositivo extra\xEDble.\n\u2013 [op.exp.6.r5.2] El software\
        \ de detecci\xF3n de c\xF3digo da\xF1ino instalado en servidores y elementos\
        \ perimetrales deber\xE1 estar configurado de forma adecuada e implementar\xE1\
        \ protecci\xF3n en tiempo real de acuerdo a las recomendaciones del fabricante.\n\
        P\xE1gina 50"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.exp.6.5
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.exp.6
      ref_id: op.exp.6.5
      description: "El software de detecci\xF3n de c\xF3digo da\xF1ino instalado en\
        \ los puestos de usuario deber\xE1 estar configurado de forma adecuada e implementar\xE1\
        \ protecci\xF3n en tiempo real de acuerdo a las recomendaciones del fabricante."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: op.exp.6.\n\
        \u2013 Categor\xEDa MEDIA: op.exp.6+ R1 + R2.\n\u2013 Categor\xEDa ALTA: op.exp.6+\
        \ R1 + R2 + R3 + R4.\nRefuerzo R1-Escaneo peri\xF3dico.\n\u2013 [op.exp.6.r1.1]\
        \ Todo el sistema se escanear\xE1 regularmente para detectar c\xF3digo da\xF1\
        ino.\nRefuerzo R2-Revisi\xF3n preventiva del sistema.\n\u2013 [op.exp.6.r2.1]\
        \ Las funciones cr\xEDticas se analizar\xE1n al arrancar el sistema en prevenci\xF3\
        n de modificaciones no autorizadas.\nRefuerzo R3 - Lista blanca.\n\u2013 [op.exp.6.r3.1]\
        \ Solamente se podr\xE1n ejecutar aquellas aplicaciones previamente autorizadas.\
        \ Se implementar\xE1 una lista blanca para impedir la ejecuci\xF3n de aplicaciones\
        \ no autorizadas.\nRefuerzo R4-Capacidad de respuesta en caso de incidente.\n\
        \u2013 [op.exp.6.r4.1] Se emplear\xE1n herramientas de seguridad orientadas\
        \ a detectar,investigar y resolver actividades sospechosas en puestos de usuario\
        \ y servidores (EDR - Endpoint Detection and Response).\nRefuerzo R5-Configuraci\xF3\
        n de la herramienta de detecci\xF3n de c\xF3digo da\xF1ino.\n\u2013 [op.exp.6.r5.1]\
        \ El software de detecci\xF3n de c\xF3digo da\xF1ino permitir\xE1 realizar\
        \ configuraciones avanzadas y revisar el sistema en el arranque y cada vez\
        \ que se conecte un dispositivo extra\xEDble.\n\u2013 [op.exp.6.r5.2] El software\
        \ de detecci\xF3n de c\xF3digo da\xF1ino instalado en servidores y elementos\
        \ perimetrales deber\xE1 estar configurado de forma adecuada e implementar\xE1\
        \ protecci\xF3n en tiempo real de acuerdo a las recomendaciones del fabricante.\n\
        P\xE1gina 50"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.exp.7
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.exp
      ref_id: op.exp.7
      name: "Gesti\xF3n de incidentes"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.exp.7.1
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.exp.7
      ref_id: op.exp.7.1
      description: "Se dispondr\xE1 de un proceso integral para hacer frente a los\
        \ incidentes que puedan tener un impacto en la seguridad del sistema, que\
        \ incluya el informe de eventos de seguridad y debilidades, detallando los\
        \ criterios de clasificaci\xF3n y el escalado de la notificaci\xF3n."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: op.exp.7.\n\
        \u2013 Categor\xEDa MEDIA: op.exp.7+ R1 + R2.\n\u2013 Categor\xEDa ALTA: op.exp.7+\
        \ R1 + R2 + R3.\nRefuerzo R1-Notificaci\xF3n.\n\u2013 [op.exp.7.r1.1] Se dispondr\xE1\
        \ de soluciones de ventanilla \xFAnica para la notificaci\xF3n de incidentes\
        \ al CCN-CERT, que permita la distribuci\xF3n de notificaciones a las diferentes\
        \ entidades de manera federada, utilizando para ello dependencias administrativas\
        \ jer\xE1rquicas.\nRefuerzo R2 \u2013Detecci\xF3n y Respuesta.\nEl proceso\
        \ integral para hacer frente a los incidentes que puedan tener un impacto\
        \ en la seguridad del sistema ([op.exp.7.1]) deber\xE1 incluir:\n\u2013 [op.exp.7.r2.1]\
        \ Implantaci\xF3n de medidas urgentes, incluyendo la detenci\xF3n de servicios,\
        \ el aislamiento del sistema afectado, la recogida de evidencias y protecci\xF3\
        n de los registros, seg\xFAn convenga al caso.\n\u2013 [op.exp.7.r2.2] Asignaci\xF3\
        n de recursos para investigar las causas, analizar las consecuencias y resolver\
        \ el incidente.\n\u2013 [op.exp.7.r2.3] Informar del incidente a los responsables\
        \ de la informaci\xF3n y servicios afectados y de las actuaciones llevadas\
        \ a cabo para su resoluci\xF3n.\n\u2013 [op.exp.7.r2.4] Medidas para:\na)\
        \ Prevenir que se repita el incidente.\nb) Incluir en los procedimientos de\
        \ usuario la identificaci\xF3n y forma de tratar el incidente.\nc) Actualizar,\
        \ extender, mejorar u optimizar los procedimientos de resoluci\xF3n de incidentes.\n\
        Refuerzo R3-Reconfiguraci\xF3n din\xE1mica.\nLa reconfiguraci\xF3n din\xE1\
        mica del sistema persigue detener, desviar o limitar ataques, acotando los\
        \ da\xF1os.\n\u2013 [op.exp.7.r3.1] La reconfiguraci\xF3n din\xE1mica incluye,\
        \ por ejemplo, cambios en las reglas de los enrutadores (routers), listas\
        \ de control de acceso, par\xE1metros del sistema de detecci\xF3n / prevenci\xF3\
        n de intrusiones y reglas en los cortafuegos y puertas de enlace,aislamiento\
        \ de elementos cr\xEDticos y aislamiento de las copias de seguridad.\n\u2013\
        \ [op.exp.7.r3.2] El organismo adaptar\xE1 los procedimientos de reconfiguraci\xF3\
        n din\xE1mica reaccionando a los anuncios recibidos del CCN-CERT relativos\
        \ a ciberamenazas sofisticadas y campa\xF1as de ataques.\nRefuerzo R4-Prevenci\xF3\
        n y Respuesta Autom\xE1tica.\n\u2013 [op.exp.7.r4.1] Se dispondr\xE1 de herramientas\
        \ que automaticen el proceso de prevenci\xF3n y respuesta mediante la detecci\xF3\
        n e identificaci\xF3n de anomal\xEDas, la segmentaci\xF3n din\xE1mica de la\
        \ red para reducir la superficie de ataque, el aislamiento de dispositivos\
        \ cr\xEDticos, etc.\nP\xE1gina 51"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.exp.7.2
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.exp.7
      ref_id: op.exp.7.2
      description: "La gesti\xF3n de incidentes que afecten a datos personales tendr\xE1\
        \ en cuenta lo dispuesto en el Reglamento General de Protecci\xF3n de Datos;\
        \ la Ley Org\xE1nica 3/2018, de 5 de diciembre, en especial su disposici\xF3\
        n adicional primera, as\xED como el resto de normativa de aplicaci\xF3n, sin\
        \ perjuicio de los requisitos establecidos en este real decreto."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: op.exp.7.\n\
        \u2013 Categor\xEDa MEDIA: op.exp.7+ R1 + R2.\n\u2013 Categor\xEDa ALTA: op.exp.7+\
        \ R1 + R2 + R3.\nRefuerzo R1-Notificaci\xF3n.\n\u2013 [op.exp.7.r1.1] Se dispondr\xE1\
        \ de soluciones de ventanilla \xFAnica para la notificaci\xF3n de incidentes\
        \ al CCN-CERT, que permita la distribuci\xF3n de notificaciones a las diferentes\
        \ entidades de manera federada, utilizando para ello dependencias administrativas\
        \ jer\xE1rquicas.\nRefuerzo R2 \u2013Detecci\xF3n y Respuesta.\nEl proceso\
        \ integral para hacer frente a los incidentes que puedan tener un impacto\
        \ en la seguridad del sistema ([op.exp.7.1]) deber\xE1 incluir:\n\u2013 [op.exp.7.r2.1]\
        \ Implantaci\xF3n de medidas urgentes, incluyendo la detenci\xF3n de servicios,\
        \ el aislamiento del sistema afectado, la recogida de evidencias y protecci\xF3\
        n de los registros, seg\xFAn convenga al caso.\n\u2013 [op.exp.7.r2.2] Asignaci\xF3\
        n de recursos para investigar las causas, analizar las consecuencias y resolver\
        \ el incidente.\n\u2013 [op.exp.7.r2.3] Informar del incidente a los responsables\
        \ de la informaci\xF3n y servicios afectados y de las actuaciones llevadas\
        \ a cabo para su resoluci\xF3n.\n\u2013 [op.exp.7.r2.4] Medidas para:\na)\
        \ Prevenir que se repita el incidente.\nb) Incluir en los procedimientos de\
        \ usuario la identificaci\xF3n y forma de tratar el incidente.\nc) Actualizar,\
        \ extender, mejorar u optimizar los procedimientos de resoluci\xF3n de incidentes.\n\
        Refuerzo R3-Reconfiguraci\xF3n din\xE1mica.\nLa reconfiguraci\xF3n din\xE1\
        mica del sistema persigue detener, desviar o limitar ataques, acotando los\
        \ da\xF1os.\n\u2013 [op.exp.7.r3.1] La reconfiguraci\xF3n din\xE1mica incluye,\
        \ por ejemplo, cambios en las reglas de los enrutadores (routers), listas\
        \ de control de acceso, par\xE1metros del sistema de detecci\xF3n / prevenci\xF3\
        n de intrusiones y reglas en los cortafuegos y puertas de enlace,aislamiento\
        \ de elementos cr\xEDticos y aislamiento de las copias de seguridad.\n\u2013\
        \ [op.exp.7.r3.2] El organismo adaptar\xE1 los procedimientos de reconfiguraci\xF3\
        n din\xE1mica reaccionando a los anuncios recibidos del CCN-CERT relativos\
        \ a ciberamenazas sofisticadas y campa\xF1as de ataques.\nRefuerzo R4-Prevenci\xF3\
        n y Respuesta Autom\xE1tica.\n\u2013 [op.exp.7.r4.1] Se dispondr\xE1 de herramientas\
        \ que automaticen el proceso de prevenci\xF3n y respuesta mediante la detecci\xF3\
        n e identificaci\xF3n de anomal\xEDas, la segmentaci\xF3n din\xE1mica de la\
        \ red para reducir la superficie de ataque, el aislamiento de dispositivos\
        \ cr\xEDticos, etc.\nP\xE1gina 51"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.exp.8
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.exp
      ref_id: op.exp.8
      name: Registro de la actividad
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node461
      assessable: false
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.exp.8
      description: "Se registrar\xE1n las actividades en el sistema, de forma que:"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.exp.8.1
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node461
      ref_id: op.exp.8.1
      description: "Se generar\xE1 un registro de auditor\xEDa, que incluir\xE1, al\
        \ menos, el identificador del usuario o entidad asociado al evento, fecha\
        \ y hora, sobre qu\xE9 informaci\xF3n se realiza el evento, tipo de evento\
        \ y el resultado del evento (fallo o \xE9xito), seg\xFAn la pol\xEDtica de\
        \ seguridad y los procedimientos asociados a la misma."
      annotation: "Aplicaci\xF3n de la medida (por trazabilidad).\n\u2013 Nivel BAJO:\
        \ op.exp.8.\n\u2013 Nivel MEDIO: op.exp.8 + R1 + R2 + R3 + R4.\n\u2013 Nivel\
        \ ALTO: op.exp.8 + R1 + R2 + R3 + R4 + R5.\nRefuerzo R1-Revisi\xF3n de los\
        \ registros.\n\u2013 [op.exp.8.r1.1] Se revisar\xE1n informalmente, de forma\
        \ peri\xF3dica, los registros de actividad, buscando patrones anormales.\n\
        Refuerzo R2-Sincronizaci\xF3n del reloj del sistema.\n\u2013 [op.exp.8.r2.1]\
        \ El sistema deber\xE1 disponer de una referencia de tiempo (timestamp) para\
        \ facilitar las funciones de registro de eventos y auditor\xEDa. La modificaci\xF3\
        n de la referencia de tiempo del sistema ser\xE1 una funci\xF3n de administraci\xF3\
        n y, en caso de realizarse su sincronizaci\xF3n con otros dispositivos, deber\xE1\
        n utilizarse mecanismos de autenticaci\xF3n e integridad.\nRefuerzo R3-Retenci\xF3\
        n de registros.\n\u2013 [op.exp.8.r3.1] En la documentaci\xF3n de seguridad\
        \ del sistema se deber\xE1n indicar los eventos de seguridad que ser\xE1n\
        \ auditados y el tiempo de retenci\xF3n de los registros antes de ser eliminados.\n\
        Refuerzo R4-Control de acceso.\n\u2013 [op.exp.8.r4.1] Los registros de actividad\
        \ y, en su caso, las copias de seguridad de los mismos, solamente podr\xE1\
        n ser accedidos o eliminarse por personal debidamente autorizado.\nRefuerzo\
        \ R5-Revisi\xF3n autom\xE1tica y correlaci\xF3n de eventos.\n\u2013 [op.exp.8.r5.1]\
        \ El sistema deber\xE1 implementar herramientas para analizar y revisar la\
        \ actividad del sistema y la informaci\xF3n de auditor\xEDa, en b\xFAsqueda\
        \ de comprometimientos de la seguridad posibles o reales.\n\u2013 [op.exp.8.r5.2]\
        \ Se dispondr\xE1 de un sistema autom\xE1tico de recolecci\xF3n de registros,\
        \ correlaci\xF3n de eventos y respuesta autom\xE1tica ante los mismos.\nP\xE1\
        gina 52"
      implementation_groups:
      - BAJO
      - MEDIO
      - ' ALTO'
      - T
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.exp.8.2
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node461
      ref_id: op.exp.8.2
      description: "Se activar\xE1n los registros de actividad en los servidores."
      annotation: "Aplicaci\xF3n de la medida (por trazabilidad).\n\u2013 Nivel BAJO:\
        \ op.exp.8.\n\u2013 Nivel MEDIO: op.exp.8 + R1 + R2 + R3 + R4.\n\u2013 Nivel\
        \ ALTO: op.exp.8 + R1 + R2 + R3 + R4 + R5.\nRefuerzo R1-Revisi\xF3n de los\
        \ registros.\n\u2013 [op.exp.8.r1.1] Se revisar\xE1n informalmente, de forma\
        \ peri\xF3dica, los registros de actividad, buscando patrones anormales.\n\
        Refuerzo R2-Sincronizaci\xF3n del reloj del sistema.\n\u2013 [op.exp.8.r2.1]\
        \ El sistema deber\xE1 disponer de una referencia de tiempo (timestamp) para\
        \ facilitar las funciones de registro de eventos y auditor\xEDa. La modificaci\xF3\
        n de la referencia de tiempo del sistema ser\xE1 una funci\xF3n de administraci\xF3\
        n y, en caso de realizarse su sincronizaci\xF3n con otros dispositivos, deber\xE1\
        n utilizarse mecanismos de autenticaci\xF3n e integridad.\nRefuerzo R3-Retenci\xF3\
        n de registros.\n\u2013 [op.exp.8.r3.1] En la documentaci\xF3n de seguridad\
        \ del sistema se deber\xE1n indicar los eventos de seguridad que ser\xE1n\
        \ auditados y el tiempo de retenci\xF3n de los registros antes de ser eliminados.\n\
        Refuerzo R4-Control de acceso.\n\u2013 [op.exp.8.r4.1] Los registros de actividad\
        \ y, en su caso, las copias de seguridad de los mismos, solamente podr\xE1\
        n ser accedidos o eliminarse por personal debidamente autorizado.\nRefuerzo\
        \ R5-Revisi\xF3n autom\xE1tica y correlaci\xF3n de eventos.\n\u2013 [op.exp.8.r5.1]\
        \ El sistema deber\xE1 implementar herramientas para analizar y revisar la\
        \ actividad del sistema y la informaci\xF3n de auditor\xEDa, en b\xFAsqueda\
        \ de comprometimientos de la seguridad posibles o reales.\n\u2013 [op.exp.8.r5.2]\
        \ Se dispondr\xE1 de un sistema autom\xE1tico de recolecci\xF3n de registros,\
        \ correlaci\xF3n de eventos y respuesta autom\xE1tica ante los mismos.\nP\xE1\
        gina 52"
      implementation_groups:
      - BAJO
      - MEDIO
      - ' ALTO'
      - T
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.exp.9
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.exp
      ref_id: op.exp.9
      name: "Registro de la gesti\xF3n de incidentes"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node465
      assessable: false
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.exp.9
      description: "Se registrar\xE1n todas las actuaciones relacionadas con la gesti\xF3\
        n de incidentes, de forma que:"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.exp.9.1
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node465
      ref_id: op.exp.9.1
      description: "Se registrar\xE1n los reportes iniciales, intermedios y finales\
        \ de los incidentes, las actuaciones de emergencia y las modificaciones del\
        \ sistema derivadas del incidente."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: op.exp.9.\n\
        \u2013 Categor\xEDa MEDIA: op.exp.9.\n\u2013 Categor\xEDa ALTA: op.exp.9.\n\
        P\xE1gina 53"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.exp.9.2
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node465
      ref_id: op.exp.9.2
      description: "Se registrar\xE1 aquella evidencia que pueda dirimirse en un \xE1\
        mbito jurisdiccional, especialmente cuando el incidente pueda comportar acciones\
        \ disciplinarias sobre el personal interno, sobre proveedores externos o en\
        \ la persecuci\xF3n de delitos. En la determinaci\xF3n de la composici\xF3\
        n y detalle de estas evidencias, se recurrir\xE1 a asesoramiento legal especializado."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: op.exp.9.\n\
        \u2013 Categor\xEDa MEDIA: op.exp.9.\n\u2013 Categor\xEDa ALTA: op.exp.9.\n\
        P\xE1gina 53"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.exp.9.3
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node465
      ref_id: op.exp.9.3
      description: "Como consecuencia del an\xE1lisis de los incidentes, se revisar\xE1\
        \ la determinaci\xF3n de los eventos auditables."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: op.exp.9.\n\
        \u2013 Categor\xEDa MEDIA: op.exp.9.\n\u2013 Categor\xEDa ALTA: op.exp.9.\n\
        P\xE1gina 53"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.exp.10
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.exp
      ref_id: op.exp.10
      name: "Protecci\xF3n de claves criptogr\xE1ficas"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.exp.10.1
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.exp.10
      ref_id: op.exp.10.1
      description: "Las claves criptogr\xE1ficas se proteger\xE1n durante todo su\
        \ ciclo de vida: (1) generaci\xF3n, (2) transporte al punto de explotaci\xF3\
        n, (3) custodia durante la explotaci\xF3n, (4) archivo posterior a su retirada\
        \ de explotaci\xF3n activa y (5) destrucci\xF3n final."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: op.exp.10.\n\
        \u2013 Categor\xEDa MEDIA: op.exp.10 + R1.\n\u2013 Categor\xEDa ALTA: op.exp.10\
        \ + R1.\nRefuerzo R1-Algoritmos autorizados.\n\u2013 [op.exp.10.r1.1] Se emplear\xE1\
        n algoritmos y par\xE1metros autorizados por el CCN.\nRefuerzo R2-Protecci\xF3\
        n avanzada de claves criptogr\xE1ficas.\n\u2013 [op.exp.10.r2.1] Se emplear\xE1\
        n cifradores que cumplan con los requisitos establecidos en la gu\xEDa CCN-STIC\
        \ que sea de aplicaci\xF3n.\nP\xE1gina 53"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.exp.10.2
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.exp.10
      ref_id: op.exp.10.2
      description: "Los medios de generaci\xF3n estar\xE1n aislados de los medios\
        \ de explotaci\xF3n."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: op.exp.10.\n\
        \u2013 Categor\xEDa MEDIA: op.exp.10 + R1.\n\u2013 Categor\xEDa ALTA: op.exp.10\
        \ + R1.\nRefuerzo R1-Algoritmos autorizados.\n\u2013 [op.exp.10.r1.1] Se emplear\xE1\
        n algoritmos y par\xE1metros autorizados por el CCN.\nRefuerzo R2-Protecci\xF3\
        n avanzada de claves criptogr\xE1ficas.\n\u2013 [op.exp.10.r2.1] Se emplear\xE1\
        n cifradores que cumplan con los requisitos establecidos en la gu\xEDa CCN-STIC\
        \ que sea de aplicaci\xF3n.\nP\xE1gina 53"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.exp.10.3
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.exp.10
      ref_id: op.exp.10.3
      description: "Las claves retiradas de operaci\xF3n que deban ser archivadas,\
        \ lo ser\xE1n en medios aislados de los de explotaci\xF3n."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: op.exp.10.\n\
        \u2013 Categor\xEDa MEDIA: op.exp.10 + R1.\n\u2013 Categor\xEDa ALTA: op.exp.10\
        \ + R1.\nRefuerzo R1-Algoritmos autorizados.\n\u2013 [op.exp.10.r1.1] Se emplear\xE1\
        n algoritmos y par\xE1metros autorizados por el CCN.\nRefuerzo R2-Protecci\xF3\
        n avanzada de claves criptogr\xE1ficas.\n\u2013 [op.exp.10.r2.1] Se emplear\xE1\
        n cifradores que cumplan con los requisitos establecidos en la gu\xEDa CCN-STIC\
        \ que sea de aplicaci\xF3n.\nP\xE1gina 53"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.ext
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-ii-4
      ref_id: op.ext
      name: Recursos externos
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node474
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.ext
      description: "Cuando la organizaci\xF3n utilice recursos externos (servicios,\
        \ productos, instalaciones o personal), mantendr\xE1 la plena responsabilidad\
        \ de los riesgos para la informaci\xF3n tratada o los servicios prestados,\
        \ debiendo adoptar las medidas necesarias para ejercer su responsabilidad\
        \ y mantener el control en todo momento.tratada o los servicios prestados,\
        \ debiendo adoptar las medidas necesarias para ejercer su responsabilidad\
        \ y mantener el control en todo momento."
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.ext.1
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.ext
      ref_id: op.ext.1
      name: "Contrataci\xF3n y acuerdos de nivel de servicio"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.ext.1.1
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.ext.1
      ref_id: op.ext.1.1
      description: "Con anterioridad a la efectiva utilizaci\xF3n de los recursos\
        \ externos se establecer\xE1 contractualmente un Acuerdo de Nivel de Servicio,\
        \ que incluir\xE1 las caracter\xEDsticas del servicio prestado, lo que debe\
        \ entenderse como \xABservicio m\xEDnimo admisible\xBB, as\xED como, la responsabilidad\
        \ del prestador y las consecuencias de eventuales incumplimientos."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: no\
        \ aplica.\n\u2013 Categor\xEDa MEDIA: op.ext.1.\n\u2013 Categor\xEDa ALTA:\
        \ op.ext.1.\nP\xE1gina 54"
      implementation_groups:
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.ext.2
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.ext
      ref_id: op.ext.2
      name: "Gesti\xF3n diaria"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.ext.2.1
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.ext.2
      ref_id: op.ext.2.1
      description: "Un sistema rutinario para medir el cumplimiento de las obligaciones\
        \ de servicio, incluyendo el procedimiento para neutralizar cualquier desviaci\xF3\
        n fuera del margen de tolerancia acordado ([op.ext.1])."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: no\
        \ aplica.\n\u2013 Categor\xEDa MEDIA: op.ext.2.\n\u2013 Categor\xEDa ALTA:\
        \ op.ext.2.\nP\xE1gina 54"
      implementation_groups:
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.ext.2.2
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.ext.2
      ref_id: op.ext.2.2
      description: "El mecanismo y los procedimientos de coordinaci\xF3n para llevar\
        \ a cabo las tareas de mantenimiento de los sistemas comprendidos en el acuerdo,\
        \ que contemplar\xE1n los supuestos de incidentes y desastres (ver [op.exp.7])."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: no\
        \ aplica.\n\u2013 Categor\xEDa MEDIA: op.ext.2.\n\u2013 Categor\xEDa ALTA:\
        \ op.ext.2.\nP\xE1gina 54"
      implementation_groups:
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.ext.3
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.ext
      ref_id: op.ext.3
      name: "Protecci\xF3n de la cadena de suministro"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.ext.3.1
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.ext.3
      ref_id: op.ext.3.1
      description: "Se analizar\xE1 el impacto que puede tener sobre el sistema un\
        \ incidente accidental o deliberado que tenga su origen en la cadena de suministro."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: no\
        \ aplica.\n\u2013 Categor\xEDa MEDIA: no aplica.\n\u2013 Categor\xEDa ALTA:\
        \ op.ext.3.\nRefuerzo R1-Plan de contingencia.\n\u2013 [op.ext.3.r1.1] El\
        \ plan de continuidad de la organizaci\xF3n deber\xE1 tener en cuenta la dependencia\
        \ de proveedores externos cr\xEDticos.\n\u2013 [op.ext.3.r1.2] Se deber\xE1\
        n realizar pruebas o ejercicios de continuidad, incluyendo escenarios en los\
        \ que falla un proveedor.\nRefuerzo R2-Sistema de gesti\xF3n de la seguridad.\n\
        \u2013 [op.ext.3.r2.1] Se implementar\xE1 un sistema de protecci\xF3n de los\
        \ procesos y flujos de informaci\xF3n en las relaciones en l\xEDnea (online)\
        \ entre los distintos integrantes de la cadena de suministro.\nRefuerzo R3-Lista\
        \ de componentes software.\n\u2013 [op.ext.3.r3.1] Se mantendr\xE1 actualizado\
        \ un registro formal que contenga los detalles y las relaciones de la cadena\
        \ de suministro de los diversos componentes utilizados en la construcci\xF3\
        n de programas inform\xE1ticos, acorde a lo especificado en [mp.sw.1.r5].\
        \ Esta lista ser\xE1 proporcionada por el proveedor de la aplicaci\xF3n, librer\xED\
        a o producto suministrado.\nP\xE1gina 55 "
      implementation_groups:
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.ext.3.2
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.ext.3
      ref_id: op.ext.3.2
      description: "Se estimar\xE1 el riesgo sobre el sistema por causa del impacto\
        \ estimado en el punto anterior."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: no\
        \ aplica.\n\u2013 Categor\xEDa MEDIA: no aplica.\n\u2013 Categor\xEDa ALTA:\
        \ op.ext.3.\nRefuerzo R1-Plan de contingencia.\n\u2013 [op.ext.3.r1.1] El\
        \ plan de continuidad de la organizaci\xF3n deber\xE1 tener en cuenta la dependencia\
        \ de proveedores externos cr\xEDticos.\n\u2013 [op.ext.3.r1.2] Se deber\xE1\
        n realizar pruebas o ejercicios de continuidad, incluyendo escenarios en los\
        \ que falla un proveedor.\nRefuerzo R2-Sistema de gesti\xF3n de la seguridad.\n\
        \u2013 [op.ext.3.r2.1] Se implementar\xE1 un sistema de protecci\xF3n de los\
        \ procesos y flujos de informaci\xF3n en las relaciones en l\xEDnea (online)\
        \ entre los distintos integrantes de la cadena de suministro.\nRefuerzo R3-Lista\
        \ de componentes software.\n\u2013 [op.ext.3.r3.1] Se mantendr\xE1 actualizado\
        \ un registro formal que contenga los detalles y las relaciones de la cadena\
        \ de suministro de los diversos componentes utilizados en la construcci\xF3\
        n de programas inform\xE1ticos, acorde a lo especificado en [mp.sw.1.r5].\
        \ Esta lista ser\xE1 proporcionada por el proveedor de la aplicaci\xF3n, librer\xED\
        a o producto suministrado.\nP\xE1gina 55 "
      implementation_groups:
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.ext.3.3
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.ext.3
      ref_id: op.ext.3.3
      description: "Se tomar\xE1n medidas de contenci\xF3n de los impactos estimados\
        \ en los puntos anteriores."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: no\
        \ aplica.\n\u2013 Categor\xEDa MEDIA: no aplica.\n\u2013 Categor\xEDa ALTA:\
        \ op.ext.3.\nRefuerzo R1-Plan de contingencia.\n\u2013 [op.ext.3.r1.1] El\
        \ plan de continuidad de la organizaci\xF3n deber\xE1 tener en cuenta la dependencia\
        \ de proveedores externos cr\xEDticos.\n\u2013 [op.ext.3.r1.2] Se deber\xE1\
        n realizar pruebas o ejercicios de continuidad, incluyendo escenarios en los\
        \ que falla un proveedor.\nRefuerzo R2-Sistema de gesti\xF3n de la seguridad.\n\
        \u2013 [op.ext.3.r2.1] Se implementar\xE1 un sistema de protecci\xF3n de los\
        \ procesos y flujos de informaci\xF3n en las relaciones en l\xEDnea (online)\
        \ entre los distintos integrantes de la cadena de suministro.\nRefuerzo R3-Lista\
        \ de componentes software.\n\u2013 [op.ext.3.r3.1] Se mantendr\xE1 actualizado\
        \ un registro formal que contenga los detalles y las relaciones de la cadena\
        \ de suministro de los diversos componentes utilizados en la construcci\xF3\
        n de programas inform\xE1ticos, acorde a lo especificado en [mp.sw.1.r5].\
        \ Esta lista ser\xE1 proporcionada por el proveedor de la aplicaci\xF3n, librer\xED\
        a o producto suministrado.\nP\xE1gina 55 "
      implementation_groups:
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.ext.4
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.ext
      ref_id: op.ext.4
      name: "Interconexi\xF3n de sistemas"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node485
      assessable: false
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.ext.4
      description: "Se denomina interconexi\xF3n al establecimiento de enlaces con\
        \ otros sistemas de informaci\xF3n para el intercambio de informaci\xF3n y\
        \ servicios."
      implementation_groups:
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.ext.4.1
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node485
      ref_id: op.ext.4.1
      description: "Todos los intercambios de informaci\xF3n y prestaci\xF3n de servicios\
        \ con otros sistemas deber\xE1n ser objeto de una autorizaci\xF3n previa.\
        \ Todo flujo de informaci\xF3n estar\xE1 prohibido salvo autorizaci\xF3n expresa."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: no\
        \ aplica.\n\u2013 Categor\xEDa MEDIA: op.ext.4.\n\u2013 Categor\xEDa ALTA:\
        \ op.ext.4 + R1.\nRefuerzo R1-Coordinaci\xF3n de actividades.\n\u2013 [op.ext.4.r1.1]\
        \ Cuando se interconecten sistemas en los que la identificaci\xF3n, autenticaci\xF3\
        n y autorizaci\xF3n tengan lugar en diferentes dominios de seguridad, bajo\
        \ distintas responsabilidades, las medidas de seguridad locales se acompa\xF1\
        ar\xE1n de los correspondientes mecanismos y procedimientos de coordinaci\xF3\
        n para la atribuci\xF3n y ejercicio efectivos de las responsabilidades de\
        \ cada sistema.\nP\xE1gina 56"
      implementation_groups:
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.ext.4.2
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node485
      ref_id: op.ext.4.2
      description: "Para cada interconexi\xF3n se documentar\xE1 expl\xEDcitamente:\
        \ las caracter\xEDsticas de la interfaz, los requisitos de seguridad y protecci\xF3\
        n de datos y la naturaleza de la informaci\xF3n intercambiada."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: no\
        \ aplica.\n\u2013 Categor\xEDa MEDIA: op.ext.4.\n\u2013 Categor\xEDa ALTA:\
        \ op.ext.4 + R1.\nRefuerzo R1-Coordinaci\xF3n de actividades.\n\u2013 [op.ext.4.r1.1]\
        \ Cuando se interconecten sistemas en los que la identificaci\xF3n, autenticaci\xF3\
        n y autorizaci\xF3n tengan lugar en diferentes dominios de seguridad, bajo\
        \ distintas responsabilidades, las medidas de seguridad locales se acompa\xF1\
        ar\xE1n de los correspondientes mecanismos y procedimientos de coordinaci\xF3\
        n para la atribuci\xF3n y ejercicio efectivos de las responsabilidades de\
        \ cada sistema.\nP\xE1gina 56"
      implementation_groups:
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.nub
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-ii-4
      ref_id: op.nub
      name: Servicios en la nube
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.nub.1
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.nub
      ref_id: op.nub.1
      name: "Protecci\xF3n de servicios en la nube"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.nub.1.1
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.nub.1
      ref_id: op.nub.1.1
      description: "Los sistemas que suministran un servicio en la nube a organismos\
        \ del sector p\xFAblico deber\xE1n cumplir con el conjunto de medidas de seguridad\
        \ en funci\xF3n del modelo de servicio en la nube que presten: Software como\
        \ Servicio (Software as a Service, SaaS), Plataforma como Servicio (Platform\
        \ as a Service, PaaS) e Infraestructura como Servicio (Infrastructure as a\
        \ Service, IaaS) definidas en las gu\xEDas CCN-STIC que sean de aplicaci\xF3\
        n."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: op.nub.1.\n\
        \u2013 Categor\xEDa MEDIA: op.nub.1 + R1.\n\u2013 Categor\xEDa ALTA: op.nub.1+\
        \ R1 + R2.\nRefuerzo R1- Servicios certificados.\n\u2013 [op.nub.1.r1.1] Cuando\
        \ se utilicen servicios en la nube suministrados por terceros, estos deber\xE1\
        n estar certificados bajo una metodolog\xEDa de certificaci\xF3n reconocida\
        \ por el Organismo de Certificaci\xF3n del Esquema Nacional de Evaluaci\xF3\
        n y Certificaci\xF3n de Seguridad de las Tecnolog\xEDas de la Informaci\xF3\
        n.\n\u2013 [op.nub.1.r1.2] Si el servicio en la nube es un servicio de seguridad\
        \ deber\xE1 cumplir con los requisitos establecidos en [op.pl.5].\nRefuerzo\
        \ R2-Gu\xEDas de Configuraci\xF3n de Seguridad Espec\xEDficas.\n\u2013 [op.nub.1.r2.1]\
        \ La configuraci\xF3n de seguridad de los sistemas que proporcionan estos\
        \ servicios deber\xE1 realizarse seg\xFAn la correspondiente gu\xEDa CCN-STIC\
        \ de Configuraci\xF3n de Seguridad Espec\xEDfica, orientadas tanto al usuario\
        \ como al proveedor.\nP\xE1gina 56"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.nub.1.2
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.nub.1
      ref_id: op.nub.1.2
      description: "Cuando se utilicen servicios en la nube suministrados por terceros,\
        \ los sistemas de informaci\xF3n que los soportan deber\xE1n ser conformes\
        \ con el ENS o cumplir con las medidas desarrolladas en una gu\xEDa CCN-STIC\
        \ que incluir\xE1, entre otros, requisitos relativos a:"
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: op.nub.1.\n\
        \u2013 Categor\xEDa MEDIA: op.nub.1 + R1.\n\u2013 Categor\xEDa ALTA: op.nub.1+\
        \ R1 + R2.\nRefuerzo R1- Servicios certificados.\n\u2013 [op.nub.1.r1.1] Cuando\
        \ se utilicen servicios en la nube suministrados por terceros, estos deber\xE1\
        n estar certificados bajo una metodolog\xEDa de certificaci\xF3n reconocida\
        \ por el Organismo de Certificaci\xF3n del Esquema Nacional de Evaluaci\xF3\
        n y Certificaci\xF3n de Seguridad de las Tecnolog\xEDas de la Informaci\xF3\
        n.\n\u2013 [op.nub.1.r1.2] Si el servicio en la nube es un servicio de seguridad\
        \ deber\xE1 cumplir con los requisitos establecidos en [op.pl.5].\nRefuerzo\
        \ R2-Gu\xEDas de Configuraci\xF3n de Seguridad Espec\xEDficas.\n\u2013 [op.nub.1.r2.1]\
        \ La configuraci\xF3n de seguridad de los sistemas que proporcionan estos\
        \ servicios deber\xE1 realizarse seg\xFAn la correspondiente gu\xEDa CCN-STIC\
        \ de Configuraci\xF3n de Seguridad Espec\xEDfica, orientadas tanto al usuario\
        \ como al proveedor.\nP\xE1gina 56"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.nub.1.2.a
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.nub.1.2
      ref_id: op.nub.1.2.a
      description: "Auditor\xEDa de pruebas de penetraci\xF3n (pentesting)."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: op.nub.1.\n\
        \u2013 Categor\xEDa MEDIA: op.nub.1 + R1.\n\u2013 Categor\xEDa ALTA: op.nub.1+\
        \ R1 + R2.\nRefuerzo R1- Servicios certificados.\n\u2013 [op.nub.1.r1.1] Cuando\
        \ se utilicen servicios en la nube suministrados por terceros, estos deber\xE1\
        n estar certificados bajo una metodolog\xEDa de certificaci\xF3n reconocida\
        \ por el Organismo de Certificaci\xF3n del Esquema Nacional de Evaluaci\xF3\
        n y Certificaci\xF3n de Seguridad de las Tecnolog\xEDas de la Informaci\xF3\
        n.\n\u2013 [op.nub.1.r1.2] Si el servicio en la nube es un servicio de seguridad\
        \ deber\xE1 cumplir con los requisitos establecidos en [op.pl.5].\nRefuerzo\
        \ R2-Gu\xEDas de Configuraci\xF3n de Seguridad Espec\xEDficas.\n\u2013 [op.nub.1.r2.1]\
        \ La configuraci\xF3n de seguridad de los sistemas que proporcionan estos\
        \ servicios deber\xE1 realizarse seg\xFAn la correspondiente gu\xEDa CCN-STIC\
        \ de Configuraci\xF3n de Seguridad Espec\xEDfica, orientadas tanto al usuario\
        \ como al proveedor.\nP\xE1gina 56"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.nub.1.2.b
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.nub.1.2
      ref_id: op.nub.1.2.b
      description: Transparencia.
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: op.nub.1.\n\
        \u2013 Categor\xEDa MEDIA: op.nub.1 + R1.\n\u2013 Categor\xEDa ALTA: op.nub.1+\
        \ R1 + R2.\nRefuerzo R1- Servicios certificados.\n\u2013 [op.nub.1.r1.1] Cuando\
        \ se utilicen servicios en la nube suministrados por terceros, estos deber\xE1\
        n estar certificados bajo una metodolog\xEDa de certificaci\xF3n reconocida\
        \ por el Organismo de Certificaci\xF3n del Esquema Nacional de Evaluaci\xF3\
        n y Certificaci\xF3n de Seguridad de las Tecnolog\xEDas de la Informaci\xF3\
        n.\n\u2013 [op.nub.1.r1.2] Si el servicio en la nube es un servicio de seguridad\
        \ deber\xE1 cumplir con los requisitos establecidos en [op.pl.5].\nRefuerzo\
        \ R2-Gu\xEDas de Configuraci\xF3n de Seguridad Espec\xEDficas.\n\u2013 [op.nub.1.r2.1]\
        \ La configuraci\xF3n de seguridad de los sistemas que proporcionan estos\
        \ servicios deber\xE1 realizarse seg\xFAn la correspondiente gu\xEDa CCN-STIC\
        \ de Configuraci\xF3n de Seguridad Espec\xEDfica, orientadas tanto al usuario\
        \ como al proveedor.\nP\xE1gina 56"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.nub.1.2.c
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.nub.1.2
      ref_id: op.nub.1.2.c
      description: "Cifrado y gesti\xF3n de claves."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: op.nub.1.\n\
        \u2013 Categor\xEDa MEDIA: op.nub.1 + R1.\n\u2013 Categor\xEDa ALTA: op.nub.1+\
        \ R1 + R2.\nRefuerzo R1- Servicios certificados.\n\u2013 [op.nub.1.r1.1] Cuando\
        \ se utilicen servicios en la nube suministrados por terceros, estos deber\xE1\
        n estar certificados bajo una metodolog\xEDa de certificaci\xF3n reconocida\
        \ por el Organismo de Certificaci\xF3n del Esquema Nacional de Evaluaci\xF3\
        n y Certificaci\xF3n de Seguridad de las Tecnolog\xEDas de la Informaci\xF3\
        n.\n\u2013 [op.nub.1.r1.2] Si el servicio en la nube es un servicio de seguridad\
        \ deber\xE1 cumplir con los requisitos establecidos en [op.pl.5].\nRefuerzo\
        \ R2-Gu\xEDas de Configuraci\xF3n de Seguridad Espec\xEDficas.\n\u2013 [op.nub.1.r2.1]\
        \ La configuraci\xF3n de seguridad de los sistemas que proporcionan estos\
        \ servicios deber\xE1 realizarse seg\xFAn la correspondiente gu\xEDa CCN-STIC\
        \ de Configuraci\xF3n de Seguridad Espec\xEDfica, orientadas tanto al usuario\
        \ como al proveedor.\nP\xE1gina 56"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.nub.1.2.d
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.nub.1.2
      ref_id: op.nub.1.2.d
      description: "Jurisdicci\xF3n de los datos."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: op.nub.1.\n\
        \u2013 Categor\xEDa MEDIA: op.nub.1 + R1.\n\u2013 Categor\xEDa ALTA: op.nub.1+\
        \ R1 + R2.\nRefuerzo R1- Servicios certificados.\n\u2013 [op.nub.1.r1.1] Cuando\
        \ se utilicen servicios en la nube suministrados por terceros, estos deber\xE1\
        n estar certificados bajo una metodolog\xEDa de certificaci\xF3n reconocida\
        \ por el Organismo de Certificaci\xF3n del Esquema Nacional de Evaluaci\xF3\
        n y Certificaci\xF3n de Seguridad de las Tecnolog\xEDas de la Informaci\xF3\
        n.\n\u2013 [op.nub.1.r1.2] Si el servicio en la nube es un servicio de seguridad\
        \ deber\xE1 cumplir con los requisitos establecidos en [op.pl.5].\nRefuerzo\
        \ R2-Gu\xEDas de Configuraci\xF3n de Seguridad Espec\xEDficas.\n\u2013 [op.nub.1.r2.1]\
        \ La configuraci\xF3n de seguridad de los sistemas que proporcionan estos\
        \ servicios deber\xE1 realizarse seg\xFAn la correspondiente gu\xEDa CCN-STIC\
        \ de Configuraci\xF3n de Seguridad Espec\xEDfica, orientadas tanto al usuario\
        \ como al proveedor.\nP\xE1gina 56"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.cont
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-ii-4
      ref_id: op.cont
      name: Continuidad del servicio
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.cont.1
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.cont
      ref_id: op.cont.1
      name: "An\xE1lisis de impacto"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.cont.1.1
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.cont.1
      ref_id: op.cont.1.1
      description: "Se realizar\xE1 un an\xE1lisis de impacto que permita determinar\
        \ los requisitos de disponibilidad de cada servicio (impacto de una interrupci\xF3\
        n durante un periodo de tiempo determinado), as\xED como los elementos que\
        \ son cr\xEDticos para la prestaci\xF3n de cada servicio."
      annotation: "Aplicaci\xF3n de la medida (por disponibilidad).\n\u2013 Nivel\
        \ BAJO: no aplica.\n\u2013 Nivel MEDIO: op.cont.1.\n\u2013 Nivel ALTO: op.cont.1.\n\
        P\xE1gina 57"
      implementation_groups:
      - MEDIO
      - ALTO
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.cont.2
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.cont
      ref_id: op.cont.2
      name: Plan de continuidad
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node500
      assessable: false
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.cont.2
      description: "Se desarrollar\xE1 un plan de continuidad que establezca las acciones\
        \ a ejecutar en caso de interrupci\xF3n de los servicios prestados con los\
        \ medios habituales. Dicho plan contemplar\xE1 los siguientes aspectos:"
      implementation_groups:
      - ALTO
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.cont.2.1
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node500
      ref_id: op.cont.2.1
      description: "Se identificar\xE1n funciones, responsabilidades y actividades\
        \ a realizar."
      annotation: "Aplicaci\xF3n de la medida (por disponibilidad).\n\u2013 Nivel\
        \ BAJO: no aplica.\n\u2013 Nivel MEDIO: no aplica.\n\u2013 Nivel ALTO: op.cont.2.\n\
        Refuerzo R1-Plan de emergencia y contingencia.\n\u2013 [op.cont.2.r1.1] Cuando\
        \ se determine la necesidad de continuidad de los sistemas, deber\xE1 existir\
        \ un plan de emergencia y contingencia en consonancia. En funci\xF3n del an\xE1\
        lisis de Impacto, se determinar\xE1n los aspectos a cubrir.\nRefuerzo R2-Comprobaci\xF3\
        n de integridad.\n\u2013 [op.cont.2.r2.1] Ante una ca\xEDda o discontinuidad\
        \ del sistema, se deber\xE1 comprobar la integridad del sistema operativo,\
        \ del firmware y de los ficheros de configuraci\xF3n.\nP\xE1ginas 57-58"
      implementation_groups:
      - ALTO
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.cont.2.2
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node500
      ref_id: op.cont.2.2
      description: "Existir\xE1 una previsi\xF3n para coordinar la entrada en servicio\
        \ de los medios alternativos de forma que se garantice poder seguir prestando\
        \ los servicios esenciales de la organizaci\xF3n."
      annotation: "Aplicaci\xF3n de la medida (por disponibilidad).\n\u2013 Nivel\
        \ BAJO: no aplica.\n\u2013 Nivel MEDIO: no aplica.\n\u2013 Nivel ALTO: op.cont.2.\n\
        Refuerzo R1-Plan de emergencia y contingencia.\n\u2013 [op.cont.2.r1.1] Cuando\
        \ se determine la necesidad de continuidad de los sistemas, deber\xE1 existir\
        \ un plan de emergencia y contingencia en consonancia. En funci\xF3n del an\xE1\
        lisis de Impacto, se determinar\xE1n los aspectos a cubrir.\nRefuerzo R2-Comprobaci\xF3\
        n de integridad.\n\u2013 [op.cont.2.r2.1] Ante una ca\xEDda o discontinuidad\
        \ del sistema, se deber\xE1 comprobar la integridad del sistema operativo,\
        \ del firmware y de los ficheros de configuraci\xF3n.\nP\xE1ginas 57-58"
      implementation_groups:
      - ALTO
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.cont.2.3
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node500
      ref_id: op.cont.2.3
      description: "Todos los medios alternativos estar\xE1n planificados y materializados\
        \ en acuerdos o contratos con los proveedores correspondientes."
      annotation: "Aplicaci\xF3n de la medida (por disponibilidad).\n\u2013 Nivel\
        \ BAJO: no aplica.\n\u2013 Nivel MEDIO: no aplica.\n\u2013 Nivel ALTO: op.cont.2.\n\
        Refuerzo R1-Plan de emergencia y contingencia.\n\u2013 [op.cont.2.r1.1] Cuando\
        \ se determine la necesidad de continuidad de los sistemas, deber\xE1 existir\
        \ un plan de emergencia y contingencia en consonancia. En funci\xF3n del an\xE1\
        lisis de Impacto, se determinar\xE1n los aspectos a cubrir.\nRefuerzo R2-Comprobaci\xF3\
        n de integridad.\n\u2013 [op.cont.2.r2.1] Ante una ca\xEDda o discontinuidad\
        \ del sistema, se deber\xE1 comprobar la integridad del sistema operativo,\
        \ del firmware y de los ficheros de configuraci\xF3n.\nP\xE1ginas 57-58"
      implementation_groups:
      - ALTO
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.cont.2.4
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node500
      ref_id: op.cont.2.4
      description: "Las personas afectadas por el plan recibir\xE1n formaci\xF3n espec\xED\
        fica relativa a su papel en dicho plan."
      annotation: "Aplicaci\xF3n de la medida (por disponibilidad).\n\u2013 Nivel\
        \ BAJO: no aplica.\n\u2013 Nivel MEDIO: no aplica.\n\u2013 Nivel ALTO: op.cont.2.\n\
        Refuerzo R1-Plan de emergencia y contingencia.\n\u2013 [op.cont.2.r1.1] Cuando\
        \ se determine la necesidad de continuidad de los sistemas, deber\xE1 existir\
        \ un plan de emergencia y contingencia en consonancia. En funci\xF3n del an\xE1\
        lisis de Impacto, se determinar\xE1n los aspectos a cubrir.\nRefuerzo R2-Comprobaci\xF3\
        n de integridad.\n\u2013 [op.cont.2.r2.1] Ante una ca\xEDda o discontinuidad\
        \ del sistema, se deber\xE1 comprobar la integridad del sistema operativo,\
        \ del firmware y de los ficheros de configuraci\xF3n.\nP\xE1ginas 57-58"
      implementation_groups:
      - ALTO
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.cont.2.5
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node500
      ref_id: op.cont.2.5
      description: "El plan de continuidad ser\xE1 parte integral y arm\xF3nica de\
        \ los planes de continuidad de la organizaci\xF3n en otras materias ajenas\
        \ a la seguridad."
      annotation: "Aplicaci\xF3n de la medida (por disponibilidad).\n\u2013 Nivel\
        \ BAJO: no aplica.\n\u2013 Nivel MEDIO: no aplica.\n\u2013 Nivel ALTO: op.cont.2.\n\
        Refuerzo R1-Plan de emergencia y contingencia.\n\u2013 [op.cont.2.r1.1] Cuando\
        \ se determine la necesidad de continuidad de los sistemas, deber\xE1 existir\
        \ un plan de emergencia y contingencia en consonancia. En funci\xF3n del an\xE1\
        lisis de Impacto, se determinar\xE1n los aspectos a cubrir.\nRefuerzo R2-Comprobaci\xF3\
        n de integridad.\n\u2013 [op.cont.2.r2.1] Ante una ca\xEDda o discontinuidad\
        \ del sistema, se deber\xE1 comprobar la integridad del sistema operativo,\
        \ del firmware y de los ficheros de configuraci\xF3n.\nP\xE1ginas 57-58"
      implementation_groups:
      - ALTO
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.cont.3
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.cont
      ref_id: op.cont.3
      name: "Pruebas peri\xF3dicas"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.cont.3.1
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.cont.3
      ref_id: op.cont.3.1
      description: "Se realizar\xE1n pruebas peri\xF3dicas para localizar y, en su\
        \ caso, corregir los errores o deficiencias que puedan existir en el plan\
        \ de continuidad."
      annotation: "Aplicaci\xF3n de la medida (por disponibilidad).\n\u2013 Nivel\
        \ BAJO: no aplica.\n\u2013 Nivel MEDIO: no aplica.\n\u2013 Nivel ALTO: op.cont.3.\n\
        P\xE1gina 58"
      implementation_groups:
      - ALTO
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.cont.4
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.cont
      ref_id: op.cont.4
      name: Medios alternativos
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.cont.4.1
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.cont.4
      ref_id: op.cont.4.1
      description: "Estar\xE1 prevista la disponibilidad de medios alternativos para\
        \ poder seguir prestando servicio cuando los medios habituales no est\xE9\
        n disponibles. En concreto, se cubrir\xE1n los siguientes elementos del sistema:"
      annotation: "Aplicaci\xF3n de la medida (por disponibilidad).\n\u2013 Nivel\
        \ BAJO: no aplica.\n\u2013 Nivel MEDIO: no aplica.\n\u2013 Nivel ALTO: op.cont.4.\n\
        Refuerzo R1-Automatizaci\xF3n de la transici\xF3n a medios alternativos.\n\
        \u2013 [op.cont.4.r1.1] El sistema dispondr\xE1 de elementos hardware o software\
        \ que permitan la transferencia de los servicios autom\xE1ticamente a los\
        \ medios alternativos.\nP\xE1gina 58"
      implementation_groups:
      - ALTO
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.cont.4.1.a
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.cont.4.1
      ref_id: op.cont.4.1.a
      description: Servicios contratados a terceros.
      annotation: "Aplicaci\xF3n de la medida (por disponibilidad).\n\u2013 Nivel\
        \ BAJO: no aplica.\n\u2013 Nivel MEDIO: no aplica.\n\u2013 Nivel ALTO: op.cont.4.\n\
        Refuerzo R1-Automatizaci\xF3n de la transici\xF3n a medios alternativos.\n\
        \u2013 [op.cont.4.r1.1] El sistema dispondr\xE1 de elementos hardware o software\
        \ que permitan la transferencia de los servicios autom\xE1ticamente a los\
        \ medios alternativos.\nP\xE1gina 58"
      implementation_groups:
      - ALTO
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.cont.4.1.b
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.cont.4.1
      ref_id: op.cont.4.1.b
      description: Instalaciones alternativas.
      annotation: "Aplicaci\xF3n de la medida (por disponibilidad).\n\u2013 Nivel\
        \ BAJO: no aplica.\n\u2013 Nivel MEDIO: no aplica.\n\u2013 Nivel ALTO: op.cont.4.\n\
        Refuerzo R1-Automatizaci\xF3n de la transici\xF3n a medios alternativos.\n\
        \u2013 [op.cont.4.r1.1] El sistema dispondr\xE1 de elementos hardware o software\
        \ que permitan la transferencia de los servicios autom\xE1ticamente a los\
        \ medios alternativos.\nP\xE1gina 58"
      implementation_groups:
      - ALTO
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.cont.4.1.c
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.cont.4.1
      ref_id: op.cont.4.1.c
      description: Personal alternativo.
      annotation: "Aplicaci\xF3n de la medida (por disponibilidad).\n\u2013 Nivel\
        \ BAJO: no aplica.\n\u2013 Nivel MEDIO: no aplica.\n\u2013 Nivel ALTO: op.cont.4.\n\
        Refuerzo R1-Automatizaci\xF3n de la transici\xF3n a medios alternativos.\n\
        \u2013 [op.cont.4.r1.1] El sistema dispondr\xE1 de elementos hardware o software\
        \ que permitan la transferencia de los servicios autom\xE1ticamente a los\
        \ medios alternativos.\nP\xE1gina 58"
      implementation_groups:
      - ALTO
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.cont.4.1.d
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.cont.4.1
      ref_id: op.cont.4.1.d
      description: "Equipamiento inform\xE1tico alternativo."
      annotation: "Aplicaci\xF3n de la medida (por disponibilidad).\n\u2013 Nivel\
        \ BAJO: no aplica.\n\u2013 Nivel MEDIO: no aplica.\n\u2013 Nivel ALTO: op.cont.4.\n\
        Refuerzo R1-Automatizaci\xF3n de la transici\xF3n a medios alternativos.\n\
        \u2013 [op.cont.4.r1.1] El sistema dispondr\xE1 de elementos hardware o software\
        \ que permitan la transferencia de los servicios autom\xE1ticamente a los\
        \ medios alternativos.\nP\xE1gina 58"
      implementation_groups:
      - ALTO
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.cont.4.1.e
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.cont.4.1
      ref_id: op.cont.4.1.e
      description: "Medios de comunicaci\xF3n alternativos."
      annotation: "Aplicaci\xF3n de la medida (por disponibilidad).\n\u2013 Nivel\
        \ BAJO: no aplica.\n\u2013 Nivel MEDIO: no aplica.\n\u2013 Nivel ALTO: op.cont.4.\n\
        Refuerzo R1-Automatizaci\xF3n de la transici\xF3n a medios alternativos.\n\
        \u2013 [op.cont.4.r1.1] El sistema dispondr\xE1 de elementos hardware o software\
        \ que permitan la transferencia de los servicios autom\xE1ticamente a los\
        \ medios alternativos.\nP\xE1gina 58"
      implementation_groups:
      - ALTO
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.cont.4.2
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.cont.4
      ref_id: op.cont.4.2
      description: "Se establecer\xE1 un tiempo m\xE1ximo para que los medios alternativos\
        \ entren en funcionamiento."
      annotation: "Aplicaci\xF3n de la medida (por disponibilidad).\n\u2013 Nivel\
        \ BAJO: no aplica.\n\u2013 Nivel MEDIO: no aplica.\n\u2013 Nivel ALTO: op.cont.4.\n\
        Refuerzo R1-Automatizaci\xF3n de la transici\xF3n a medios alternativos.\n\
        \u2013 [op.cont.4.r1.1] El sistema dispondr\xE1 de elementos hardware o software\
        \ que permitan la transferencia de los servicios autom\xE1ticamente a los\
        \ medios alternativos.\nP\xE1gina 58"
      implementation_groups:
      - ALTO
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.cont.4.3
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.cont.4
      ref_id: op.cont.4.3
      description: "Los medios alternativos estar\xE1n sometidos a las mismas garant\xED\
        as de seguridad que los originales."
      annotation: "Aplicaci\xF3n de la medida (por disponibilidad).\n\u2013 Nivel\
        \ BAJO: no aplica.\n\u2013 Nivel MEDIO: no aplica.\n\u2013 Nivel ALTO: op.cont.4.\n\
        Refuerzo R1-Automatizaci\xF3n de la transici\xF3n a medios alternativos.\n\
        \u2013 [op.cont.4.r1.1] El sistema dispondr\xE1 de elementos hardware o software\
        \ que permitan la transferencia de los servicios autom\xE1ticamente a los\
        \ medios alternativos.\nP\xE1gina 58"
      implementation_groups:
      - ALTO
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.mon
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-ii-4
      ref_id: op.mon
      name: "Monitorizaci\xF3n del sistema"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.mon.1
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.mon
      ref_id: op.mon.1
      name: "Detecci\xF3n de intrusi\xF3n"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.mon.1.1
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.mon.1
      ref_id: op.mon.1.1
      description: "Se dispondr\xE1 de herramientas de detecci\xF3n o prevenci\xF3\
        n de intrusiones."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: op.mon.1.\n\
        \u2013 Categor\xEDa MEDIA: op.mon.1 + R1.\n\u2013 Categor\xEDa ALTA: op.mon.1+\
        \ R1 + R2.\nRefuerzo R1-Detecci\xF3n basada en reglas.\n\u2013 [op.mon.1.r1.1]\
        \ El sistema dispondr\xE1 de herramientas de detecci\xF3n o prevenci\xF3n\
        \ de intrusiones basadas en reglas.\nRefuerzo R2-Procedimientos de respuesta.\n\
        \u2013 [op.mon.1.r2.1] Existir\xE1n procedimientos de respuesta a las alertas\
        \ generadas por el sistema de detecci\xF3n o prevenci\xF3n de intrusiones.\n\
        Refuerzo R3-Acciones predeterminadas.\n\u2013 [op.mon.1.r3.1] El sistema ejecutar\xE1\
        \ autom\xE1ticamente acciones predeterminadas de respuesta a las alertas generadas.\
        \ Esto puede incluir la finalizaci\xF3n del proceso que est\xE1 ocasionando\
        \ la alerta, la inhabilitaci\xF3n de determinados servicios, la desconexi\xF3\
        n de usuarios y el bloqueo de cuentas.\nP\xE1gina 59"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ' ALTA'
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.mon.2
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.mon
      ref_id: op.mon.2
      name: "Sistema de m\xE9tricas "
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.mon.2.1
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.mon.2
      ref_id: op.mon.2.1
      description: "Atendiendo a la categor\xEDa de seguridad del sistema, se recopilar\xE1\
        n los datos necesarios para conocer el grado de implantaci\xF3n de las medidas\
        \ de seguridad que resulten aplicables y, en su caso, para proveer el informe\
        \ anual requerido por el art\xEDculo 32."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: op.mon.2.\n\
        \u2013 Categor\xEDa MEDIA: op.mon.2 + R1+ R2.\n\u2013 Categor\xEDa ALTA: op.mon.2\
        \ + R1 + R2.\nRefuerzo R1-Efectividad del sistema de gesti\xF3n de incidentes.\n\
        \u2013 [op.mon.2.r1.1] Se recopilar\xE1n los datos precisos que posibiliten\
        \ evaluar el comportamiento del sistema de gesti\xF3n de incidentes, de acuerdo\
        \ con la Instrucci\xF3n T\xE9cnica de Seguridad de Notificaci\xF3n de Incidentes\
        \ de Seguridad y con la correspondiente gu\xEDa CCN-STIC.\nRefuerzo R2-Eficiencia\
        \ del sistema de gesti\xF3n de la seguridad.\n\u2013 [op.mon.2.r2.1] Se recopilar\xE1\
        n los datos precisos para conocer la eficiencia del sistema de seguridad,\
        \ en relaci\xF3n con los recursos consumidos, en t\xE9rminos de horas y presupuesto.\n\
        P\xE1gina 60"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ' ALTA'
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.mon.3
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.mon
      ref_id: op.mon.3
      name: 'Vigilancia '
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.mon.3.1
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:op.mon.3
      ref_id: op.mon.3.1
      description: "Se dispondr\xE1 de un sistema autom\xE1tico de recolecci\xF3n\
        \ de eventos de seguridad."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: op.mon.3.\n\
        \u2013 Categor\xEDa MEDIA: op.mon.3 + R1 + R2.\n\u2013 Categor\xEDa ALTA:\
        \ op.mon.3 + R1 + R2 + R3 + R4 + R5 + R6.\nRefuerzo R1-Correlaci\xF3n de eventos.\n\
        \u2013 [op.mon.3.r1.1] Se dispondr\xE1 de un sistema autom\xE1tico de recolecci\xF3\
        n de eventos de seguridad que permita la correlaci\xF3n de los mismos.\nRefuerzo\
        \ R2-An\xE1lisis din\xE1mico.\n\u2013 [op.mon.3.r2.1] Se dispondr\xE1 de soluciones\
        \ de vigilancia que permitan determinar la superficie de exposici\xF3n con\
        \ relaci\xF3n a vulnerabilidades y deficiencias de configuraci\xF3n.\nRefuerzo\
        \ R3-Ciberamenazas avanzadas.\n\u2013 [op.mon.3.r3.1] Se dispondr\xE1 de sistemas\
        \ para detecci\xF3n de amenazas avanzadas y comportamientos an\xF3malos.\n\
        \u2013 [op.mon.3.r3.2] Se dispondr\xE1 de sistemas para la detecci\xF3n de\
        \ amenazas persistentes avanzadas (Advanced Persistent Threat, APT) mediante\
        \ la detecci\xF3n de anomal\xEDas significativas en el tr\xE1fico de la red.\n\
        Refuerzo R4-Observatorios digitales.\n\u2013 [op.mon.3.r4.1] Se dispondr\xE1\
        \ de observatorios digitales con fines de cibervigilancia dedicados a la detecci\xF3\
        n y seguimiento de anomal\xEDas que pudieran representar indicadores de amenaza\
        \ en contenidos digitales.\nRefuerzo R5-Miner\xEDa de datos.\nSe aplicar\xE1\
        n medidas para prevenir, detectar y reaccionar frente a intentos de miner\xED\
        a de datos:\n\u2013 [op.mon.3.r5.1] Limitaci\xF3n de las consultas, monitorizando\
        \ volumen y frecuencia.\n\u2013 [op.mon.3.r5.2] Alerta a los administradores\
        \ de seguridad de comportamientos sospechosos en tiempo real.\nRefuerzo R6-Inspecciones\
        \ de seguridad.\nPeri\xF3dicamente, o tras incidentes que hayan desvelado\
        \ vulnerabilidades del sistema nuevas o subestimadas, se realizar\xE1n las\
        \ siguientes inspecciones:\n\u2013 [op.mon.3.r6.1] Verificaci\xF3n de configuraci\xF3\
        n.\n\u2013 [op.mon.3.r6.2] An\xE1lisis de vulnerabilidades.\n\u2013 [op.mon.3.r6.3]\
        \ Pruebas de penetraci\xF3n.\nRefuerzo R7-Interconexiones.\n\u2013 [op.mon.3.r7.1]\
        \ En las interconexiones que lo requieran se aplicar\xE1n controles en los\
        \ flujos de intercambio de informaci\xF3n a trav\xE9s del uso de metadatos.\n\
        P\xE1gina 61"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ' ALTA'
      - ''
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-ii-5
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-ii
      ref_id: ANEXO II-5
      name: "Medidas de protecci\xF3n [mp]"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.if
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-ii-5
      ref_id: mp.if
      name: "Protecci\xF3n de las instalaciones e infraestructuras"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.if.1
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.if
      ref_id: mp.if.1
      name: "\xC1reas separadas y con control de acceso"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.if.1.1
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.if.1
      ref_id: mp.if.1.1
      description: "El equipamiento del Centro de Proceso de Datos (CPD) se instalar\xE1\
        , en la medida de lo posible, en \xE1reas separadas, espec\xEDficas para su\
        \ funci\xF3n."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: mp.if.1.\n\
        \u2013 Categor\xEDa MEDIA: mp.if.1.\n\u2013 Categor\xEDa ALTA: mp.if.1.\n\
        P\xE1gina 62"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.if.1.2
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.if.1
      ref_id: mp.if.1.2
      description: "Se controlar\xE1n los accesos a las \xE1reas indicadas de forma\
        \ que s\xF3lo se pueda acceder por las entradas previstas."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: mp.if.1.\n\
        \u2013 Categor\xEDa MEDIA: mp.if.1.\n\u2013 Categor\xEDa ALTA: mp.if.1.\n\
        P\xE1gina 62"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.if.2
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.if
      ref_id: mp.if.2
      name: "Identificaci\xF3n de las personas"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.if.2.1
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.if.2
      ref_id: mp.if.2.1
      description: "El procedimiento de control de acceso identificar\xE1 a las personas\
        \ que accedan a los locales donde hay equipamiento esencial que forme parte\
        \ del sistema de informaci\xF3n del CPD, registrando las correspondientes\
        \ entradas y salidas."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: mp.if.2.\n\
        \u2013 Categor\xEDa MEDIA: mp.if.2.\n\u2013 Categor\xEDa ALTA: mp.if.2.\n\
        P\xE1gina 62"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.if.3
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.if
      ref_id: mp.if.3
      name: Acondicionamiento de los locales
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node532
      assessable: false
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.if.3
      description: "Los locales donde se ubiquen los sistemas de informaci\xF3n y\
        \ sus componentes esenciales dispondr\xE1n de elementos adecuados para el\
        \ eficaz funcionamiento del equipamiento all\xED instalado, y, en especial,\
        \ para asegurar:"
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: mp.if.3.\n\
        \u2013 Categor\xEDa MEDIA: mp.if.3.\n\u2013 Categor\xEDa ALTA: mp.if.3.\n\
        P\xE1gina 63"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.if.3.1
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node532
      ref_id: mp.if.3.1
      description: Las condiciones de temperatura y humedad.
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: mp.if.3.\n\
        \u2013 Categor\xEDa MEDIA: mp.if.3.\n\u2013 Categor\xEDa ALTA: mp.if.3.\n\
        P\xE1gina 63"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.if.3.2
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node532
      ref_id: mp.if.3.2
      description: "La protecci\xF3n frente a las amenazas identificadas en el an\xE1\
        lisis de riesgos."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: mp.if.3.\n\
        \u2013 Categor\xEDa MEDIA: mp.if.3.\n\u2013 Categor\xEDa ALTA: mp.if.3.\n\
        P\xE1gina 63"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.if.3.3
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node532
      ref_id: mp.if.3.3
      description: "La protecci\xF3n del cableado frente a incidentes fortuitos o\
        \ deliberados."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: mp.if.3.\n\
        \u2013 Categor\xEDa MEDIA: mp.if.3.\n\u2013 Categor\xEDa ALTA: mp.if.3.\n\
        P\xE1gina 63"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.if.4
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.if
      ref_id: mp.if.4
      name: "Energ\xEDa el\xE9ctrica"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.if.4.1
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.if.4
      ref_id: mp.if.4.1
      description: "Los locales donde se ubiquen los sistemas de informaci\xF3n y\
        \ sus componentes esenciales dispondr\xE1n de tomas de energ\xEDa el\xE9ctrica,\
        \ de modo que se garantice el suministro y el correcto funcionamiento de las\
        \ luces de emergencia."
      annotation: "Aplicaci\xF3n de la medida (por disponibilidad).\n\u2013 Nivel\
        \ BAJO: mp.if.4.\n\u2013 Nivel MEDIO: mp.if.4 + R1.\n\u2013 Nivel ALTO: mp.if.4\
        \ + R1.\nP\xE1gina 63"
      implementation_groups:
      - BAJO
      - MEDIO
      - ' ALTO'
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.if.5
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.if
      ref_id: mp.if.5
      name: "Protecci\xF3n frente a incendios"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.if.5.1
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.if.5
      ref_id: mp.if.5.1
      description: "Los locales donde se ubiquen los sistemas de informaci\xF3n y\
        \ sus componentes esenciales se proteger\xE1n frente a incendios atendiendo,\
        \ al menos, a la normativa industrial de aplicaci\xF3n."
      annotation: "Aplicaci\xF3n de la medida (por disponibilidad).\n\u2013 Nivel\
        \ BAJO: mp.if.5.\n\u2013 Nivel MEDIO: mp.if.5.\n\u2013 Nivel ALTO: mp.if.5.\n\
        P\xE1gina 63"
      implementation_groups:
      - BAJO
      - MEDIO
      - ' ALTO'
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.if.6
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.if
      ref_id: mp.if.6
      name: "Protecci\xF3n frente a inundaciones"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.if.6.1
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.if.6
      ref_id: mp.if.6.1
      description: "Los locales donde se ubiquen los sistemas de informaci\xF3n y\
        \ sus componentes esenciales se proteger\xE1n frente a incidentes causados\
        \ por el agua."
      annotation: "Aplicaci\xF3n de la medida (por disponibilidad).\n\u2013 Nivel\
        \ BAJO: no aplica.\n\u2013 Nivel MEDIO: mp.if.6.\n\u2013 Nivel ALTO: mp.if.6.\n\
        P\xE1gina 64"
      implementation_groups:
      - MEDIO
      - ' ALTO'
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.if.7
      assessable: false
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.if.6
      ref_id: mp.if.7
      name: Registro de entrada y salida de equipamiento
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.if.7.1
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.if.7
      ref_id: mp.if.7.1
      description: "Se llevar\xE1 un registro pormenorizado de cualquier entrada y\
        \ salida de equipamiento esencial, incluyendo la identificaci\xF3n de la persona\
        \ que autoriza el movimiento."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: mp.if.7.\n\
        \u2013 Categor\xEDa MEDIA: mp.if.7.\n\u2013 Categor\xEDa ALTA: mp.if.7.\n\
        P\xE1gina 64"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.per
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-ii-5
      ref_id: mp.per
      name: "Gesti\xF3n del personal"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.per.1
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.per
      ref_id: mp.per.1
      name: "Caracterizaci\xF3n del puesto de trabajo"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.per.1.1
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.per.1
      ref_id: mp.per.1.1
      description: "Para cada puesto de trabajo, relacionado directamente con el manejo\
        \ de informaci\xF3n o servicios, se definir\xE1n las responsabilidades en\
        \ materia de seguridad, que estar\xE1n basadas en el an\xE1lisis de riesgos."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: no\
        \ aplica.\n\u2013 Categor\xEDa MEDIA: mp.per.1.\n\u2013 Categor\xEDa ALTA:\
        \ mp.per.1.\nRefuerzo R1-Habilitaci\xF3n Personal de Seguridad.\n\u2013 [mp.per.1.r1.1]\
        \ Los administradores de seguridad/sistema tendr\xE1n una Habilitaci\xF3n\
        \ Personal de Seguridad (HPS) otorgada por la autoridad competente, como consecuencia\
        \ de los resultados del an\xE1lisis de riesgos previo o como requisito de\
        \ seguridad de un sistema espec\xEDfico.\nP\xE1gina 65"
      implementation_groups:
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.per.1.2
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.per.1
      ref_id: mp.per.1.2
      description: "Se definir\xE1n los requisitos que deben satisfacer las personas\
        \ que vayan a ocupar el puesto de trabajo, en particular, en t\xE9rminos de\
        \ confidencialidad. Dichos requisitos se tendr\xE1n en cuenta en la selecci\xF3\
        n de la persona que vaya a ocupar el puesto, incluyendo la verificaci\xF3\
        n de sus antecedentes laborales, formaci\xF3n y otras referencias, de conformidad\
        \ con el ordenamiento jur\xEDdico y el respeto a los derechos fundamentales."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: no\
        \ aplica.\n\u2013 Categor\xEDa MEDIA: mp.per.1.\n\u2013 Categor\xEDa ALTA:\
        \ mp.per.1.\nRefuerzo R1-Habilitaci\xF3n Personal de Seguridad.\n\u2013 [mp.per.1.r1.1]\
        \ Los administradores de seguridad/sistema tendr\xE1n una Habilitaci\xF3n\
        \ Personal de Seguridad (HPS) otorgada por la autoridad competente, como consecuencia\
        \ de los resultados del an\xE1lisis de riesgos previo o como requisito de\
        \ seguridad de un sistema espec\xEDfico.\nP\xE1gina 65"
      implementation_groups:
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.per.2
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.per
      ref_id: mp.per.2
      name: Deberes y obligaciones
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node549
      assessable: false
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.per.2
      description: "Se informar\xE1 a cada persona que trabaje en el sistema de los\
        \ deberes y responsabilidades de su puesto de trabajo en materia de seguridad,\
        \ contemplando:"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.per.2.1
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node549
      ref_id: mp.per.2.1
      description: Las medidas disciplinarias a que haya lugar
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: mp.per.2.\n\
        \u2013 Categor\xEDa MEDIA: mp.per.2 + R1.\n\u2013 Categor\xEDa ALTA: mp.per.2\
        \ + R1.\nRefuerzo R1-Confirmaci\xF3n expresa.\n\u2013 [mp.per.2.r1.1] Se ha\
        \ de obtener la confirmaci\xF3n expresa de que los usuarios conocen las instrucciones\
        \ de seguridad necesarias y obligatorias y su aceptaci\xF3n, as\xED como los\
        \ procedimientos necesarios para llevarlas a cabo de manera adecuada.\nP\xE1\
        gina 65"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.per.2.2
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node549
      ref_id: mp.per.2.2
      description: "Contemplando tanto el periodo durante el cual se desempe\xF1a\
        \ el puesto, como las obligaciones en caso de t\xE9rmino de la asignaci\xF3\
        n, o traslado a otro puesto de trabajo."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: mp.per.2.\n\
        \u2013 Categor\xEDa MEDIA: mp.per.2 + R1.\n\u2013 Categor\xEDa ALTA: mp.per.2\
        \ + R1.\nRefuerzo R1-Confirmaci\xF3n expresa.\n\u2013 [mp.per.2.r1.1] Se ha\
        \ de obtener la confirmaci\xF3n expresa de que los usuarios conocen las instrucciones\
        \ de seguridad necesarias y obligatorias y su aceptaci\xF3n, as\xED como los\
        \ procedimientos necesarios para llevarlas a cabo de manera adecuada.\nP\xE1\
        gina 65"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.per.2.3
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node549
      ref_id: mp.per.2.3
      description: " El deber de confidencialidad respecto de los datos a los que\
        \ tenga acceso, tanto durante el periodo que est\xE9 adscrito al puesto de\
        \ trabajo, como posteriormente a su terminaci\xF3n."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: mp.per.2.\n\
        \u2013 Categor\xEDa MEDIA: mp.per.2 + R1.\n\u2013 Categor\xEDa ALTA: mp.per.2\
        \ + R1.\nRefuerzo R1-Confirmaci\xF3n expresa.\n\u2013 [mp.per.2.r1.1] Se ha\
        \ de obtener la confirmaci\xF3n expresa de que los usuarios conocen las instrucciones\
        \ de seguridad necesarias y obligatorias y su aceptaci\xF3n, as\xED como los\
        \ procedimientos necesarios para llevarlas a cabo de manera adecuada.\nP\xE1\
        gina 65"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.per.2.4
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node549
      ref_id: mp.per.2.4
      description: "En caso de personal contratado a trav\xE9s de un tercero:"
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: mp.per.2.\n\
        \u2013 Categor\xEDa MEDIA: mp.per.2 + R1.\n\u2013 Categor\xEDa ALTA: mp.per.2\
        \ + R1.\nRefuerzo R1-Confirmaci\xF3n expresa.\n\u2013 [mp.per.2.r1.1] Se ha\
        \ de obtener la confirmaci\xF3n expresa de que los usuarios conocen las instrucciones\
        \ de seguridad necesarias y obligatorias y su aceptaci\xF3n, as\xED como los\
        \ procedimientos necesarios para llevarlas a cabo de manera adecuada.\nP\xE1\
        gina 65"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.per.2.4.a
      assessable: true
      depth: 7
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.per.2.4
      ref_id: mp.per.2.4.a
      description: "Se establecer\xE1n los deberes y obligaciones de cada parte y\
        \ del personal contratado."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: mp.per.2.\n\
        \u2013 Categor\xEDa MEDIA: mp.per.2 + R1.\n\u2013 Categor\xEDa ALTA: mp.per.2\
        \ + R1.\nRefuerzo R1-Confirmaci\xF3n expresa.\n\u2013 [mp.per.2.r1.1] Se ha\
        \ de obtener la confirmaci\xF3n expresa de que los usuarios conocen las instrucciones\
        \ de seguridad necesarias y obligatorias y su aceptaci\xF3n, as\xED como los\
        \ procedimientos necesarios para llevarlas a cabo de manera adecuada.\nP\xE1\
        gina 65"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.per.2.4.b
      assessable: true
      depth: 7
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.per.2.4
      ref_id: mp.per.2.4.b
      description: "Se establecer\xE1 el procedimiento de resoluci\xF3n de incidentes\
        \ relacionados con el incumplimiento de las obligaciones."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: mp.per.2.\n\
        \u2013 Categor\xEDa MEDIA: mp.per.2 + R1.\n\u2013 Categor\xEDa ALTA: mp.per.2\
        \ + R1.\nRefuerzo R1-Confirmaci\xF3n expresa.\n\u2013 [mp.per.2.r1.1] Se ha\
        \ de obtener la confirmaci\xF3n expresa de que los usuarios conocen las instrucciones\
        \ de seguridad necesarias y obligatorias y su aceptaci\xF3n, as\xED como los\
        \ procedimientos necesarios para llevarlas a cabo de manera adecuada.\nP\xE1\
        gina 65"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.per.3
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.per
      ref_id: mp.per.3
      name: "Concienciaci\xF3n"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node557
      assessable: false
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.per.3
      description: "Se realizar\xE1n las acciones necesarias para concienciar regularmente\
        \ al personal acerca de su papel y responsabilidad para que la seguridad del\
        \ sistema alcance los niveles exigidos. En particular, se recordar\xE1 peri\xF3\
        dicamente:"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.per.3.1
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node557
      ref_id: mp.per.3.1
      description: " La normativa de seguridad relativa al buen uso de los equipos\
        \ o sistemas y las t\xE9cnicas de ingenier\xEDa social m\xE1s habituales."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: mp.per.3.\n\
        \u2013 Categor\xEDa MEDIA: mp.per.3.\n\u2013 Categor\xEDa ALTA: mp.per.3.\n\
        P\xE1gina 66"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.per.3.2
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node557
      ref_id: mp.per.3.2
      description: "La identificaci\xF3n de incidentes, actividades o comportamientos\
        \ sospechosos que deban ser reportados para su tratamiento por personal especializado."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: mp.per.3.\n\
        \u2013 Categor\xEDa MEDIA: mp.per.3.\n\u2013 Categor\xEDa ALTA: mp.per.3.\n\
        P\xE1gina 66"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.per.3.3
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node557
      ref_id: mp.per.3.3
      description: El procedimiento para informar sobre incidentes de seguridad, sean
        reales o falsas alarmas.
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: mp.per.3.\n\
        \u2013 Categor\xEDa MEDIA: mp.per.3.\n\u2013 Categor\xEDa ALTA: mp.per.3.\n\
        P\xE1gina 66"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.per.4
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.per
      ref_id: mp.per.4
      name: "Formaci\xF3n"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.per.4.1
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.per.4
      ref_id: mp.per.4.1
      description: "Se formar\xE1 regularmente al personal en aquellas materias relativas\
        \ a seguridad de la informaci\xF3n que requiera el desempe\xF1o de sus funciones,\
        \ en particular en lo relativo a:"
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: mp.per.4.\n\
        \u2013 Categor\xEDa MEDIA: mp.per.4.\n\u2013 Categor\xEDa ALTA: mp.per.4.\n\
        P\xE1gina 66"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.per.4.1.a
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.per.4.1
      ref_id: mp.per.4.1.a
      description: "Configuraci\xF3n de sistemas."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: mp.per.4.\n\
        \u2013 Categor\xEDa MEDIA: mp.per.4.\n\u2013 Categor\xEDa ALTA: mp.per.4.\n\
        P\xE1gina 66"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.per.4.1.b
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.per.4.1
      ref_id: mp.per.4.1.b
      description: "Detecci\xF3n y reacci\xF3n ante incidentes."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: mp.per.4.\n\
        \u2013 Categor\xEDa MEDIA: mp.per.4.\n\u2013 Categor\xEDa ALTA: mp.per.4.\n\
        P\xE1gina 66"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.per.4.1.c
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.per.4.1
      ref_id: mp.per.4.1.c
      description: "Gesti\xF3n de la informaci\xF3n en cualquier soporte en el que\
        \ se encuentre. Se cubrir\xE1n al menos las siguientes actividades: almacenamiento,\
        \ transferencia, copias, distribuci\xF3n y destrucci\xF3n."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: mp.per.4.\n\
        \u2013 Categor\xEDa MEDIA: mp.per.4.\n\u2013 Categor\xEDa ALTA: mp.per.4.\n\
        P\xE1gina 66"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node566
      assessable: false
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.per.4
      description: "Adem\xE1s, se evaluar\xE1 la eficacia de las acciones formativas\
        \ llevadas a cabo."
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.eq
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-ii-5
      ref_id: mp.eq
      name: "Protecci\xF3n de los equipos"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.eq.1
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.eq
      ref_id: mp.eq.1
      name: Puesto de trabajo despejado
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.eq.1.1
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.eq.1
      ref_id: mp.eq.1.1
      description: "Los puestos de trabajo permanecer\xE1n despejados, sin que exista\
        \ material distinto del necesario en cada momento."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: mp.eq.1.\n\
        \u2013 Categor\xEDa MEDIA: mp.eq.1 + R1.\n\u2013 Categor\xEDa ALTA: mp.eq.1\
        \ + R1.\nRefuerzo R1-Almacenamiento del material.\n\u2013 [mp.eq.1.r1.1] Una\
        \ vez usado, y siempre que sea factible, el material se almacenar\xE1 en lugar\
        \ cerrado.\nP\xE1gina 67"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.eq.2
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.eq
      ref_id: mp.eq.2
      name: Bloqueo de puesto de trabajo
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.eq.2.1
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.eq.2
      ref_id: mp.eq.2.1
      description: " El puesto de trabajo se bloquear\xE1 al cabo de un tiempo prudencial\
        \ de inactividad, requiriendo una nueva autenticaci\xF3n del usuario para\
        \ reanudar la actividad en curso."
      annotation: "Aplicaci\xF3n de la medida (por autenticidad).\n\u2013 Nivel BAJO:\
        \ no aplica.\n\u2013 Nivel MEDIO: mp.eq.2.\n\u2013 Nivel ALTO: mp.eq.2 + R1.\n\
        Refuerzo R1-Cierre de sesiones.\n\u2013 [mp.eq.2.r1.1] Pasado un cierto tiempo,\
        \ superior al anterior, se cancelar\xE1n las sesiones abiertas desde dicho\
        \ puesto de trabajo.\nUna Gu\xEDa CCN-STIC concretar\xE1 la implementaci\xF3\
        n de la configuraci\xF3n de seguridad adaptada a la categorizaci\xF3n del\
        \ sistema o perfil de cumplimiento asociado.\nP\xE1gina 67"
      implementation_groups:
      - MEDIO
      - ' ALTO'
      - A
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.eq.3
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.eq
      ref_id: mp.eq.3
      name: "Protecci\xF3n de dispositivos port\xE1tiles"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node573
      assessable: false
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.eq.3
      description: "Los equipos (ordenadores port\xE1tiles, tabletas, etc.) que sean\
        \ susceptibles de salir de las instalaciones de la organizaci\xF3n y no puedan\
        \ beneficiarse de la protecci\xF3n f\xEDsica correspondiente, con un riesgo\
        \ manifiesto de p\xE9rdida o robo, ser\xE1n protegidos adecuadamente."
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - ''
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node574
      assessable: false
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.eq.3
      description: "Sin perjuicio de las medidas generales que les afecten, se adoptar\xE1\
        n las siguientes:"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - ''
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.eq.3.1
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node574
      ref_id: mp.eq.3.1
      description: "Se llevar\xE1 un inventario de dispositivos port\xE1tiles junto\
        \ con una identificaci\xF3n de la persona responsable de cada uno de ellos\
        \ y un control regular de que est\xE1 positivamente bajo su control."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: mp.eq.3.\n\
        \u2013 Categor\xEDa MEDIA: mp.eq.3.\n\u2013 Categor\xEDa ALTA: mp.eq.3 + R1\
        \ + R2.\nRefuerzo R1\u2013 Cifrado del disco.\n\u2013 [mp.eq.3.r1.1] Se proteger\xE1\
        \ el dispositivo port\xE1til mediante cifrado del disco duro cuando el nivel\
        \ de confidencialidad de la informaci\xF3n almacenada en el mismo sea de nivel\
        \ MEDIO.\nRefuerzo R2\u2013 Entornos protegidos.\n\u2013 [mp.eq.3.r2.1] El\
        \ uso de dispositivos port\xE1tiles fuera de las instalaciones de la organizaci\xF3\
        n se restringir\xE1 a entornos protegidos, donde el acceso sea controlado\
        \ y a salvo de hurtos y miradas indiscretas.\nP\xE1gina 68"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - ''
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.eq.3.2
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node574
      ref_id: mp.eq.3.2
      description: " Se establecer\xE1 un procedimiento operativo de seguridad para\
        \ informar al servicio de gesti\xF3n de incidentes de p\xE9rdidas o sustracciones."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: mp.eq.3.\n\
        \u2013 Categor\xEDa MEDIA: mp.eq.3.\n\u2013 Categor\xEDa ALTA: mp.eq.3 + R1\
        \ + R2.\nRefuerzo R1\u2013 Cifrado del disco.\n\u2013 [mp.eq.3.r1.1] Se proteger\xE1\
        \ el dispositivo port\xE1til mediante cifrado del disco duro cuando el nivel\
        \ de confidencialidad de la informaci\xF3n almacenada en el mismo sea de nivel\
        \ MEDIO.\nRefuerzo R2\u2013 Entornos protegidos.\n\u2013 [mp.eq.3.r2.1] El\
        \ uso de dispositivos port\xE1tiles fuera de las instalaciones de la organizaci\xF3\
        n se restringir\xE1 a entornos protegidos, donde el acceso sea controlado\
        \ y a salvo de hurtos y miradas indiscretas.\nP\xE1gina 68"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - ''
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.eq.3.3
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node574
      ref_id: mp.eq.3.3
      description: "Cuando un dispositivo port\xE1til se conecte remotamente a trav\xE9\
        s de redes que no est\xE1n bajo el estricto control de la organizaci\xF3n,\
        \ el \xE1mbito de operaci\xF3n del servidor limitar\xE1 la informaci\xF3n\
        \ y los servicios accesibles a los m\xEDnimos imprescindibles, requiriendo\
        \ autorizaci\xF3n previa de los responsables de la informaci\xF3n y los servicios\
        \ afectados. Este punto es de aplicaci\xF3n a conexiones a trav\xE9s de internet\
        \ y otras redes que no sean de confianza."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: mp.eq.3.\n\
        \u2013 Categor\xEDa MEDIA: mp.eq.3.\n\u2013 Categor\xEDa ALTA: mp.eq.3 + R1\
        \ + R2.\nRefuerzo R1\u2013 Cifrado del disco.\n\u2013 [mp.eq.3.r1.1] Se proteger\xE1\
        \ el dispositivo port\xE1til mediante cifrado del disco duro cuando el nivel\
        \ de confidencialidad de la informaci\xF3n almacenada en el mismo sea de nivel\
        \ MEDIO.\nRefuerzo R2\u2013 Entornos protegidos.\n\u2013 [mp.eq.3.r2.1] El\
        \ uso de dispositivos port\xE1tiles fuera de las instalaciones de la organizaci\xF3\
        n se restringir\xE1 a entornos protegidos, donde el acceso sea controlado\
        \ y a salvo de hurtos y miradas indiscretas.\nP\xE1gina 68"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - ''
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.eq.3.4
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node574
      ref_id: mp.eq.3.4
      description: "Se evitar\xE1, en la medida de lo posible, que el dispositivo\
        \ port\xE1til contenga claves de acceso remoto a la organizaci\xF3n que no\
        \ sean imprescindibles. Se considerar\xE1n claves de acceso remoto aquellas\
        \ que sean capaces de habilitar un acceso a otros equipos de la organizaci\xF3\
        n u otras de naturaleza an\xE1log"
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: mp.eq.3.\n\
        \u2013 Categor\xEDa MEDIA: mp.eq.3.\n\u2013 Categor\xEDa ALTA: mp.eq.3 + R1\
        \ + R2.\nRefuerzo R1\u2013 Cifrado del disco.\n\u2013 [mp.eq.3.r1.1] Se proteger\xE1\
        \ el dispositivo port\xE1til mediante cifrado del disco duro cuando el nivel\
        \ de confidencialidad de la informaci\xF3n almacenada en el mismo sea de nivel\
        \ MEDIO.\nRefuerzo R2\u2013 Entornos protegidos.\n\u2013 [mp.eq.3.r2.1] El\
        \ uso de dispositivos port\xE1tiles fuera de las instalaciones de la organizaci\xF3\
        n se restringir\xE1 a entornos protegidos, donde el acceso sea controlado\
        \ y a salvo de hurtos y miradas indiscretas.\nP\xE1gina 68"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - ''
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.eq.4
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.eq
      ref_id: mp.eq.4
      name: Otros dispositivos conectados a la red
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node580
      assessable: false
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.eq.4
      description: "Esta medida afecta a todo tipo de dispositivos conectados a la\
        \ red y que puedan tener en alg\xFAn momento acceso a la informaci\xF3n, tales\
        \ como: Esta medida afecta a todo tipo de dispositivos conectados a la red\
        \ y que puedan tener en alg\xFAn momento acceso a la informaci\xF3n, tales\
        \ como: a) Dispositivos multifunci\xF3n: impresoras, esc\xE1neres, etc. b)\
        \ Dispositivos multimedia: proyectores, altavoces inteligentes, etc. c) Dispositivos\
        \ internet de las cosas, en ingl\xE9s Internet of Things (IoT). d) Dispositivos\
        \ de invitados y los personales de los propios empleados, en ingl\xE9s Bring\
        \ Your Own Device (BYOD). e) Otros."
      implementation_groups:
      - BAJO
      - MEDIO
      - ' ALTO'
      - C
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.eq.4.1
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.eq.4
      ref_id: mp.eq.4.1
      description: "Los dispositivos presentes en el sistema deber\xE1n contar con\
        \ una configuraci\xF3n de seguridad adecuada de manera que se garantice el\
        \ control del flujo definido de entrada y salida de la informaci\xF3n."
      annotation: "Aplicaci\xF3n de la medida (por confidencialidad).\n\u2013 Nivel\
        \ BAJO: mp.eq.4.\n\u2013 Nivel MEDIO: mp.eq.4 + R1.\n\u2013 Nivel ALTO: mp.eq.4+\
        \ R1\nRefuerzo R1-Productos certificados.\n\u2013 [mp.eq.4.r1.1] Se usar\xE1\
        n, cuando sea posible, productos o servicios que cumplan lo establecido en\
        \ [op.pl.5].\nRefuerzo R2-Control de dispositivos conectados a la red.\n\u2013\
        \ [mp.eq.4.r2.1] Se dispondr\xE1 de soluciones que permitan visualizar los\
        \ dispositivos presentes en la red, controlar su conexi\xF3n/desconexi\xF3\
        n a la misma y verificar su configuraci\xF3n de seguridad.\nP\xE1ginas 68-69"
      implementation_groups:
      - BAJO
      - MEDIO
      - ' ALTO'
      - C
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.eq.4.2
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.eq.4
      ref_id: mp.eq.4.2
      description: "Los dispositivos presentes en la red que dispongan de alg\xFA\
        n tipo de almacenamiento temporal o permanente de informaci\xF3n proporcionar\xE1\
        n la funcionalidad necesaria para eliminar informaci\xF3n de soportes de informaci\xF3\
        n. (Ver [mp.si.5])."
      annotation: "Aplicaci\xF3n de la medida (por confidencialidad).\n\u2013 Nivel\
        \ BAJO: mp.eq.4.\n\u2013 Nivel MEDIO: mp.eq.4 + R1.\n\u2013 Nivel ALTO: mp.eq.4+\
        \ R1\nRefuerzo R1-Productos certificados.\n\u2013 [mp.eq.4.r1.1] Se usar\xE1\
        n, cuando sea posible, productos o servicios que cumplan lo establecido en\
        \ [op.pl.5].\nRefuerzo R2-Control de dispositivos conectados a la red.\n\u2013\
        \ [mp.eq.4.r2.1] Se dispondr\xE1 de soluciones que permitan visualizar los\
        \ dispositivos presentes en la red, controlar su conexi\xF3n/desconexi\xF3\
        n a la misma y verificar su configuraci\xF3n de seguridad.\nP\xE1ginas 68-69"
      implementation_groups:
      - BAJO
      - MEDIO
      - ' ALTO'
      - C
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.com
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-ii-5
      ref_id: mp.com
      name: "Protecci\xF3n de las comunicaciones"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.com.1
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.com
      ref_id: mp.com.1
      name: "Per\xEDmetro seguro"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.com.1.1
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.com.1
      ref_id: mp.com.1.1
      description: "Se dispondr\xE1 de un sistema de protecci\xF3n perimetral que\
        \ separe la red interna del exterior. Todo el tr\xE1fico deber\xE1 atravesar\
        \ dicho sistema."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: mp.com.1.\n\
        \u2013 Categor\xEDa MEDIA: mp.com.1.\n\u2013 Categor\xEDa ALTA: mp.com.1.\n\
        P\xE1gina 69"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.com.1.2
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.com.1
      ref_id: mp.com.1.2
      description: "Todos los flujos de informaci\xF3n a trav\xE9s del per\xEDmetro\
        \ deben estar autorizados previamente."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: mp.com.1.\n\
        \u2013 Categor\xEDa MEDIA: mp.com.1.\n\u2013 Categor\xEDa ALTA: mp.com.1.\n\
        P\xE1gina 69"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node587
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.com.1
      description: "La Instrucci\xF3n T\xE9cnica de Seguridad de Interconexi\xF3n\
        \ de Sistemas de Informaci\xF3n determinar\xE1 los requisitos establecidos\
        \ en el per\xEDmetro que han de cumplir todos los componentes del sistema\
        \ en funci\xF3n de la categor\xEDa."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: mp.com.1.\n\
        \u2013 Categor\xEDa MEDIA: mp.com.1.\n\u2013 Categor\xEDa ALTA: mp.com.1.\n\
        P\xE1gina 69"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.com.2
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.com
      ref_id: mp.com.2
      name: "Protecci\xF3n de la confidencialidad"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.com.2.1
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.com.2
      ref_id: mp.com.2.1
      description: "Se emplear\xE1n redes privadas virtuales cifradas cuando la comunicaci\xF3\
        n discurra por redes fuera del propio dominio de seguridad."
      annotation: "Aplicaci\xF3n de la medida (por confidencialidad).\n\u2013 Nivel\
        \ BAJO: mp.com.2.\n\u2013 Nivel MEDIO: mp.com.2 + R1.\n\u2013 Nivel ALTO:\
        \ mp.com.2 + R1 + R2+ R3.\nRefuerzo R1-Algoritmos y par\xE1metros autorizados.\n\
        \u2013 [mp.com.2.r1.1] Se emplear\xE1n algoritmos y par\xE1metros autorizados\
        \ por el CCN.\nRefuerzo R2-Dispositivos hardware.\n\u2013 [mp.com.2.r2.1]\
        \ Se emplear\xE1n, dispositivos hardware en el establecimiento y utilizaci\xF3\
        n de la red privada virtual.\nRefuerzo R3-Productos certificados.\n\u2013\
        \ [mp.com.2.r3.1] Se usar\xE1n productos o servicios que cumplan lo establecido\
        \ en [op.pl.5].\nRefuerzo R4-Cifradores.\n\u2013 [mp.com.2.r4.1] Se emplear\xE1\
        n cifradores que cumplan con los requisitos establecidos en la gu\xEDa CCN-STIC\
        \ que sea de aplicaci\xF3n.\nRefuerzo R5-Cifrado de informaci\xF3n especialmente\
        \ sensible.\n\u2013 [mp.com.2.r5.1] Se cifrar\xE1 toda la informaci\xF3n transmitida.\n\
        P\xE1ginas 69-70"
      implementation_groups:
      - BAJO
      - MEDIO
      - ' ALTO'
      - C
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.com.3
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.com
      ref_id: mp.com.3
      name: "Protecci\xF3n de la integridad y de la autenticidad"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.com.3.1
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.com.3
      ref_id: mp.com.3.1
      description: "En comunicaciones con puntos exteriores al dominio propio de seguridad,\
        \ se asegurar\xE1 la autenticidad del otro extremo del canal de comunicaci\xF3\
        n antes de intercambiar informaci\xF3n. (Ver [op.acc.5])."
      annotation: "Aplicaci\xF3n de la medida (por integridad y autenticidad).\n\u2013\
        \ Nivel BAJO: mp.com.3.\n\u2013 Nivel MEDIO: mp.com.3 + R1 + R2.\n\u2013 Nivel\
        \ ALTO: mp.com.3 + R1 + R2 + R3 + R4.\nRefuerzo R1-Redes privadas virtuales.\n\
        \u2013 [mp.com.3.r1.1] Se emplear\xE1n redes privadas virtuales cifradas cuando\
        \ la comunicaci\xF3n discurra por redes fuera del propio dominio de seguridad.\n\
        Refuerzo R2-Algoritmos y par\xE1metros autorizados.\n\u2013 [mp.com.3.r2.1]\
        \ Se emplear\xE1n algoritmos y par\xE1metros autorizados por el CCN.\nRefuerzo\
        \ R3-Dispositivos hardware.\n\u2013 [mp.com.3.r3.1] Se recomienda emplear\
        \ dispositivos hardware en el establecimiento y utilizaci\xF3n de la red privada\
        \ virtual.\nRefuerzo R4-Productos certificados.\n\u2013 [mp.com.3.r4.1] Se\
        \ emplear\xE1n productos certificados conforme a lo establecido en [op.pl.5].\n\
        Refuerzo R5-Cifradores.\n\u2013 [mp.com.3.r5.1] Se emplear\xE1n cifradores\
        \ que cumplan con los requisitos establecidos en la gu\xEDa CCN-STIC que sea\
        \ de aplicaci\xF3n.\nP\xE1gina 70-71"
      implementation_groups:
      - BAJO
      - MEDIO
      - ' ALTO'
      - I
      - A
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.com.3.2
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.com.3
      ref_id: mp.com.3.2
      description: "Se prevendr\xE1n ataques activos garantizando que al ser detectados\
        \ se activar\xE1n los procedimientos previstos de tratamiento del incidente.\
        \ Se considerar\xE1n ataques activos:"
      annotation: "Aplicaci\xF3n de la medida (por integridad y autenticidad).\n\u2013\
        \ Nivel BAJO: mp.com.3.\n\u2013 Nivel MEDIO: mp.com.3 + R1 + R2.\n\u2013 Nivel\
        \ ALTO: mp.com.3 + R1 + R2 + R3 + R4.\nRefuerzo R1-Redes privadas virtuales.\n\
        \u2013 [mp.com.3.r1.1] Se emplear\xE1n redes privadas virtuales cifradas cuando\
        \ la comunicaci\xF3n discurra por redes fuera del propio dominio de seguridad.\n\
        Refuerzo R2-Algoritmos y par\xE1metros autorizados.\n\u2013 [mp.com.3.r2.1]\
        \ Se emplear\xE1n algoritmos y par\xE1metros autorizados por el CCN.\nRefuerzo\
        \ R3-Dispositivos hardware.\n\u2013 [mp.com.3.r3.1] Se recomienda emplear\
        \ dispositivos hardware en el establecimiento y utilizaci\xF3n de la red privada\
        \ virtual.\nRefuerzo R4-Productos certificados.\n\u2013 [mp.com.3.r4.1] Se\
        \ emplear\xE1n productos certificados conforme a lo establecido en [op.pl.5].\n\
        Refuerzo R5-Cifradores.\n\u2013 [mp.com.3.r5.1] Se emplear\xE1n cifradores\
        \ que cumplan con los requisitos establecidos en la gu\xEDa CCN-STIC que sea\
        \ de aplicaci\xF3n.\nP\xE1gina 70-71"
      implementation_groups:
      - BAJO
      - MEDIO
      - ' ALTO'
      - I
      - A
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.com.3.2.a
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.com.3.2
      ref_id: mp.com.3.2.a
      description: "La alteraci\xF3n de la informaci\xF3n en tr\xE1nsito."
      annotation: "Aplicaci\xF3n de la medida (por integridad y autenticidad).\n\u2013\
        \ Nivel BAJO: mp.com.3.\n\u2013 Nivel MEDIO: mp.com.3 + R1 + R2.\n\u2013 Nivel\
        \ ALTO: mp.com.3 + R1 + R2 + R3 + R4.\nRefuerzo R1-Redes privadas virtuales.\n\
        \u2013 [mp.com.3.r1.1] Se emplear\xE1n redes privadas virtuales cifradas cuando\
        \ la comunicaci\xF3n discurra por redes fuera del propio dominio de seguridad.\n\
        Refuerzo R2-Algoritmos y par\xE1metros autorizados.\n\u2013 [mp.com.3.r2.1]\
        \ Se emplear\xE1n algoritmos y par\xE1metros autorizados por el CCN.\nRefuerzo\
        \ R3-Dispositivos hardware.\n\u2013 [mp.com.3.r3.1] Se recomienda emplear\
        \ dispositivos hardware en el establecimiento y utilizaci\xF3n de la red privada\
        \ virtual.\nRefuerzo R4-Productos certificados.\n\u2013 [mp.com.3.r4.1] Se\
        \ emplear\xE1n productos certificados conforme a lo establecido en [op.pl.5].\n\
        Refuerzo R5-Cifradores.\n\u2013 [mp.com.3.r5.1] Se emplear\xE1n cifradores\
        \ que cumplan con los requisitos establecidos en la gu\xEDa CCN-STIC que sea\
        \ de aplicaci\xF3n.\nP\xE1gina 70-71"
      implementation_groups:
      - BAJO
      - MEDIO
      - ' ALTO'
      - I
      - A
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.com.3.2.b
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.com.3.2
      ref_id: mp.com.3.2.b
      description: "La inyecci\xF3n de informaci\xF3n espuria."
      annotation: "Aplicaci\xF3n de la medida (por integridad y autenticidad).\n\u2013\
        \ Nivel BAJO: mp.com.3.\n\u2013 Nivel MEDIO: mp.com.3 + R1 + R2.\n\u2013 Nivel\
        \ ALTO: mp.com.3 + R1 + R2 + R3 + R4.\nRefuerzo R1-Redes privadas virtuales.\n\
        \u2013 [mp.com.3.r1.1] Se emplear\xE1n redes privadas virtuales cifradas cuando\
        \ la comunicaci\xF3n discurra por redes fuera del propio dominio de seguridad.\n\
        Refuerzo R2-Algoritmos y par\xE1metros autorizados.\n\u2013 [mp.com.3.r2.1]\
        \ Se emplear\xE1n algoritmos y par\xE1metros autorizados por el CCN.\nRefuerzo\
        \ R3-Dispositivos hardware.\n\u2013 [mp.com.3.r3.1] Se recomienda emplear\
        \ dispositivos hardware en el establecimiento y utilizaci\xF3n de la red privada\
        \ virtual.\nRefuerzo R4-Productos certificados.\n\u2013 [mp.com.3.r4.1] Se\
        \ emplear\xE1n productos certificados conforme a lo establecido en [op.pl.5].\n\
        Refuerzo R5-Cifradores.\n\u2013 [mp.com.3.r5.1] Se emplear\xE1n cifradores\
        \ que cumplan con los requisitos establecidos en la gu\xEDa CCN-STIC que sea\
        \ de aplicaci\xF3n.\nP\xE1gina 70-71"
      implementation_groups:
      - BAJO
      - MEDIO
      - ' ALTO'
      - I
      - A
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.com.3.2.c
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.com.3.2
      ref_id: mp.com.3.2.c
      description: "El secuestro de la sesi\xF3n por una tercera parte."
      annotation: "Aplicaci\xF3n de la medida (por integridad y autenticidad).\n\u2013\
        \ Nivel BAJO: mp.com.3.\n\u2013 Nivel MEDIO: mp.com.3 + R1 + R2.\n\u2013 Nivel\
        \ ALTO: mp.com.3 + R1 + R2 + R3 + R4.\nRefuerzo R1-Redes privadas virtuales.\n\
        \u2013 [mp.com.3.r1.1] Se emplear\xE1n redes privadas virtuales cifradas cuando\
        \ la comunicaci\xF3n discurra por redes fuera del propio dominio de seguridad.\n\
        Refuerzo R2-Algoritmos y par\xE1metros autorizados.\n\u2013 [mp.com.3.r2.1]\
        \ Se emplear\xE1n algoritmos y par\xE1metros autorizados por el CCN.\nRefuerzo\
        \ R3-Dispositivos hardware.\n\u2013 [mp.com.3.r3.1] Se recomienda emplear\
        \ dispositivos hardware en el establecimiento y utilizaci\xF3n de la red privada\
        \ virtual.\nRefuerzo R4-Productos certificados.\n\u2013 [mp.com.3.r4.1] Se\
        \ emplear\xE1n productos certificados conforme a lo establecido en [op.pl.5].\n\
        Refuerzo R5-Cifradores.\n\u2013 [mp.com.3.r5.1] Se emplear\xE1n cifradores\
        \ que cumplan con los requisitos establecidos en la gu\xEDa CCN-STIC que sea\
        \ de aplicaci\xF3n.\nP\xE1gina 70-71"
      implementation_groups:
      - BAJO
      - MEDIO
      - ' ALTO'
      - I
      - A
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.com.3.3
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.com.3
      ref_id: mp.com.3.3
      description: "Se aceptar\xE1 cualquier mecanismo de identificaci\xF3n y autenticaci\xF3\
        n de los previstos en el ordenamiento jur\xEDdico y en la normativa de aplicaci\xF3\
        n."
      annotation: "Aplicaci\xF3n de la medida (por integridad y autenticidad).\n\u2013\
        \ Nivel BAJO: mp.com.3.\n\u2013 Nivel MEDIO: mp.com.3 + R1 + R2.\n\u2013 Nivel\
        \ ALTO: mp.com.3 + R1 + R2 + R3 + R4.\nRefuerzo R1-Redes privadas virtuales.\n\
        \u2013 [mp.com.3.r1.1] Se emplear\xE1n redes privadas virtuales cifradas cuando\
        \ la comunicaci\xF3n discurra por redes fuera del propio dominio de seguridad.\n\
        Refuerzo R2-Algoritmos y par\xE1metros autorizados.\n\u2013 [mp.com.3.r2.1]\
        \ Se emplear\xE1n algoritmos y par\xE1metros autorizados por el CCN.\nRefuerzo\
        \ R3-Dispositivos hardware.\n\u2013 [mp.com.3.r3.1] Se recomienda emplear\
        \ dispositivos hardware en el establecimiento y utilizaci\xF3n de la red privada\
        \ virtual.\nRefuerzo R4-Productos certificados.\n\u2013 [mp.com.3.r4.1] Se\
        \ emplear\xE1n productos certificados conforme a lo establecido en [op.pl.5].\n\
        Refuerzo R5-Cifradores.\n\u2013 [mp.com.3.r5.1] Se emplear\xE1n cifradores\
        \ que cumplan con los requisitos establecidos en la gu\xEDa CCN-STIC que sea\
        \ de aplicaci\xF3n.\nP\xE1gina 70-71"
      implementation_groups:
      - BAJO
      - MEDIO
      - ' ALTO'
      - I
      - A
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.com.4
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.com
      ref_id: mp.com.4
      name: "Separaci\xF3n de flujos de informaci\xF3n en la red"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node598
      assessable: false
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.com.4
      description: "La segmentaci\xF3n acota el acceso a la informaci\xF3n y, consiguientemente,\
        \ la propagaci\xF3n de los incidentes de seguridad, que quedan restringidos\
        \ al entorno donde ocurren."
      implementation_groups:
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node599
      assessable: false
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.com.4
      description: "Cuando la transmisi\xF3n de informaci\xF3n por la red se restringe\
        \ a ciertos segmentos, se acota el acceso a la informaci\xF3n y los incidentes\
        \ de seguridad quedan encapsulados en su segmento."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: no\
        \ aplica.\n\u2013 Categor\xEDa MEDIA: mp.com.4+ [R1o R2 o R3]\n\u2013 Categor\xED\
        a ALTA: mp.com.4+[R2 o R3] + R4.\nRefuerzo R1-Segmentaci\xF3n l\xF3gica b\xE1\
        sica.\n\u2013 [mp.com.4.r1.1] Los segmentos de red se implementar\xE1n por\
        \ medio de redes de \xE1rea local virtuales (Virtual Local Area Network, VLAN).\n\
        \u2013 [mp.com.4.r1.2] La red que conforma el sistema deber\xE1 segregarse\
        \ en distintas subredes contemplando como m\xEDnimo:\n\u2022 Usuarios.\n\u2022\
        \ Servicios.\n\u2022 Administraci\xF3n.\nRefuerzo R2-Segmentaci\xF3n l\xF3\
        gica avanzada.\n\u2013 [mp.com.4.r2.1] Los segmentos de red se implementar\xE1\
        n por medio de redes privadas virtuales (Virtual Private Network, VPN).\n\
        Refuerzo R3-Segmentaci\xF3n f\xEDsica.\n\u2013 [mp.com.4.r3.1] Los segmentos\
        \ de red se implementar\xE1n con medios f\xEDsicos separados.\nRefuerzo R4-Puntos\
        \ de interconexi\xF3n.\n\u2013 [mp.com.4.r4.1] Control de entrada de los usuarios\
        \ que llegan a cada segmento y control de entrada y salida de la informaci\xF3\
        n disponible en cada segmento. \u2013 [mp.com.4.r4.2] El punto de interconexi\xF3\
        n estar\xE1 particularmente asegurado, mantenido y monitorizado, (como en\
        \ [mp.com.1]).\nP\xE1gina 71"
      implementation_groups:
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node600
      assessable: false
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.com.4
      description: "Los flujos de informaci\xF3n se separar\xE1n en segmentos de forma\
        \ que:"
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: no\
        \ aplica.\n\u2013 Categor\xEDa MEDIA: mp.com.4+ [R1o R2 o R3]\n\u2013 Categor\xED\
        a ALTA: mp.com.4+[R2 o R3] + R4.\nRefuerzo R1-Segmentaci\xF3n l\xF3gica b\xE1\
        sica.\n\u2013 [mp.com.4.r1.1] Los segmentos de red se implementar\xE1n por\
        \ medio de redes de \xE1rea local virtuales (Virtual Local Area Network, VLAN).\n\
        \u2013 [mp.com.4.r1.2] La red que conforma el sistema deber\xE1 segregarse\
        \ en distintas subredes contemplando como m\xEDnimo:\n\u2022 Usuarios.\n\u2022\
        \ Servicios.\n\u2022 Administraci\xF3n.\nRefuerzo R2-Segmentaci\xF3n l\xF3\
        gica avanzada.\n\u2013 [mp.com.4.r2.1] Los segmentos de red se implementar\xE1\
        n por medio de redes privadas virtuales (Virtual Private Network, VPN).\n\
        Refuerzo R3-Segmentaci\xF3n f\xEDsica.\n\u2013 [mp.com.4.r3.1] Los segmentos\
        \ de red se implementar\xE1n con medios f\xEDsicos separados.\nRefuerzo R4-Puntos\
        \ de interconexi\xF3n.\n\u2013 [mp.com.4.r4.1] Control de entrada de los usuarios\
        \ que llegan a cada segmento y control de entrada y salida de la informaci\xF3\
        n disponible en cada segmento. \u2013 [mp.com.4.r4.2] El punto de interconexi\xF3\
        n estar\xE1 particularmente asegurado, mantenido y monitorizado, (como en\
        \ [mp.com.1]).\nP\xE1gina 71"
      implementation_groups:
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.com.4.1
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node600
      ref_id: mp.com.4.1
      description: "El tr\xE1fico por la red se segregar\xE1 para que cada equipo\
        \ solamente tenga acceso a la informaci\xF3n que necesita."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: no\
        \ aplica.\n\u2013 Categor\xEDa MEDIA: mp.com.4+ [R1o R2 o R3]\n\u2013 Categor\xED\
        a ALTA: mp.com.4+[R2 o R3] + R4.\nRefuerzo R1-Segmentaci\xF3n l\xF3gica b\xE1\
        sica.\n\u2013 [mp.com.4.r1.1] Los segmentos de red se implementar\xE1n por\
        \ medio de redes de \xE1rea local virtuales (Virtual Local Area Network, VLAN).\n\
        \u2013 [mp.com.4.r1.2] La red que conforma el sistema deber\xE1 segregarse\
        \ en distintas subredes contemplando como m\xEDnimo:\n\u2022 Usuarios.\n\u2022\
        \ Servicios.\n\u2022 Administraci\xF3n.\nRefuerzo R2-Segmentaci\xF3n l\xF3\
        gica avanzada.\n\u2013 [mp.com.4.r2.1] Los segmentos de red se implementar\xE1\
        n por medio de redes privadas virtuales (Virtual Private Network, VPN).\n\
        Refuerzo R3-Segmentaci\xF3n f\xEDsica.\n\u2013 [mp.com.4.r3.1] Los segmentos\
        \ de red se implementar\xE1n con medios f\xEDsicos separados.\nRefuerzo R4-Puntos\
        \ de interconexi\xF3n.\n\u2013 [mp.com.4.r4.1] Control de entrada de los usuarios\
        \ que llegan a cada segmento y control de entrada y salida de la informaci\xF3\
        n disponible en cada segmento. \u2013 [mp.com.4.r4.2] El punto de interconexi\xF3\
        n estar\xE1 particularmente asegurado, mantenido y monitorizado, (como en\
        \ [mp.com.1]).\nP\xE1gina 71"
      implementation_groups:
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.com.4.2
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node600
      ref_id: mp.com.4.2
      description: "Si se emplean comunicaciones inal\xE1mbricas, ser\xE1 en un segmento\
        \ separado."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: no\
        \ aplica.\n\u2013 Categor\xEDa MEDIA: mp.com.4+ [R1o R2 o R3]\n\u2013 Categor\xED\
        a ALTA: mp.com.4+[R2 o R3] + R4.\nRefuerzo R1-Segmentaci\xF3n l\xF3gica b\xE1\
        sica.\n\u2013 [mp.com.4.r1.1] Los segmentos de red se implementar\xE1n por\
        \ medio de redes de \xE1rea local virtuales (Virtual Local Area Network, VLAN).\n\
        \u2013 [mp.com.4.r1.2] La red que conforma el sistema deber\xE1 segregarse\
        \ en distintas subredes contemplando como m\xEDnimo:\n\u2022 Usuarios.\n\u2022\
        \ Servicios.\n\u2022 Administraci\xF3n.\nRefuerzo R2-Segmentaci\xF3n l\xF3\
        gica avanzada.\n\u2013 [mp.com.4.r2.1] Los segmentos de red se implementar\xE1\
        n por medio de redes privadas virtuales (Virtual Private Network, VPN).\n\
        Refuerzo R3-Segmentaci\xF3n f\xEDsica.\n\u2013 [mp.com.4.r3.1] Los segmentos\
        \ de red se implementar\xE1n con medios f\xEDsicos separados.\nRefuerzo R4-Puntos\
        \ de interconexi\xF3n.\n\u2013 [mp.com.4.r4.1] Control de entrada de los usuarios\
        \ que llegan a cada segmento y control de entrada y salida de la informaci\xF3\
        n disponible en cada segmento. \u2013 [mp.com.4.r4.2] El punto de interconexi\xF3\
        n estar\xE1 particularmente asegurado, mantenido y monitorizado, (como en\
        \ [mp.com.1]).\nP\xE1gina 71"
      implementation_groups:
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.si
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-ii-5
      ref_id: mp.si
      name: "Protecci\xF3n de los soportes de informaci\xF3n"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.si.1
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.si
      ref_id: mp.si.1
      name: Marcado de soportes
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.si.1.1
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.si.1
      ref_id: mp.si.1.1
      description: "Los soportes de informaci\xF3n (papel impreso, documentos electr\xF3\
        nicos, contenidos multimedia -v\xEDdeos, cursos, presentaciones- etc.) que\
        \ contengan informaci\xF3n que seg\xFAn [mp.info.2] deba protegerse con medidas\
        \ de seguridad espec\xEDficas, llevar\xE1n las marcas o metadatos correspondientes\
        \ que indiquen el nivel de seguridad de la informaci\xF3n contenida de mayor\
        \ calificaci\xF3n."
      annotation: "Aplicaci\xF3n de la medida (por confidencialidad).\n\u2013 Nivel\
        \ BAJO: no aplica.\n\u2013 Nivel MEDIO: mp.si.1.\n\u2013 Nivel ALTO: mp.si.1.\n\
        Refuerzo R1-Marca de agua digital.\n\u2013 [mp.si.1.r1.1] La pol\xEDtica de\
        \ seguridad de la organizaci\xF3n definir\xE1 marcas de agua para asegurar\
        \ el uso adecuado de la informaci\xF3n que se maneja.\n\u2013 [mp.si.1.r1.2]\
        \ Los soportes de informaci\xF3n digital (documentos electr\xF3nicos, material\
        \ multimedia, etc.) podr\xE1n incluir una marca de agua seg\xFAn la pol\xED\
        tica de seguridad.\n\u2013 [mp.si.1.r1.3] Los equipos o dispositivos a trav\xE9\
        s de los que se accede a aplicaciones, escritorios remotos o virtuales, datos,\
        \ etc., presentar\xE1n una marca de agua en pantalla seg\xFAn la pol\xEDtica\
        \ de seguridad.\nP\xE1gina 72"
      implementation_groups:
      - MEDIO
      - ' ALTO'
      - C
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.si.2
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.si
      ref_id: mp.si.2
      name: "Criptograf\xEDa"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node607
      assessable: false
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.si.2
      description: "Esta medida se aplica, en particular, a todos los dispositivos\
        \ removibles cuando salen de un \xE1rea controlada. Se entender\xE1n por dispositivos\
        \ removibles, los CD, DVD, discos extra\xEDbles, pendrives, memorias USB u\
        \ otros de naturaleza an\xE1loga."
      implementation_groups:
      - MEDIO
      - ' ALTO'
      - C
      - I
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.si.2.1
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.si.2
      ref_id: mp.si.2.1
      description: "Se usar\xE1n mecanismos criptogr\xE1ficos que garanticen la confidencialidad\
        \ y la integridad de la informaci\xF3n contenida."
      annotation: "Aplicaci\xF3n de la medida (por confidencialidad e integridad).\n\
        \u2013 Nivel BAJO: no aplica.\n\u2013 Nivel MEDIO: mp.si.2.\n\u2013 Nivel\
        \ ALTO: mp.si.2 + R1 + R2.\nRefuerzo R1\u2013 Productos certificados.\n\u2013\
        \ [mp.si.2.r1.1] Se emplear\xE1n productos certificados conforme a lo establecido\
        \ en [op.pl.5].\nRefuerzo R2-Copias de seguridad.\n\u2013 [mp.si.2.r2.1] Las\
        \ copias se seguridad se cifrar\xE1n utilizando algoritmos y par\xE1metros\
        \ autorizados por el CCN.\nP\xE1gina 73"
      implementation_groups:
      - MEDIO
      - ' ALTO'
      - C
      - I
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.si.2.2
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.si.2
      ref_id: mp.si.2.2
      description: "Se emplear\xE1n algoritmos y par\xE1metros autorizados por el\
        \ CCN."
      annotation: "Aplicaci\xF3n de la medida (por confidencialidad e integridad).\n\
        \u2013 Nivel BAJO: no aplica.\n\u2013 Nivel MEDIO: mp.si.2.\n\u2013 Nivel\
        \ ALTO: mp.si.2 + R1 + R2.\nRefuerzo R1\u2013 Productos certificados.\n\u2013\
        \ [mp.si.2.r1.1] Se emplear\xE1n productos certificados conforme a lo establecido\
        \ en\n[op.pl.5].\nRefuerzo R2-Copias de seguridad.\n\u2013 [mp.si.2.r2.1]\
        \ Las copias se seguridad se cifrar\xE1n utilizando algoritmos y\npar\xE1\
        metros autorizados por el CCN.\nP\xE1gina 73"
      implementation_groups:
      - MEDIO
      - ' ALTO'
      - C
      - I
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.si.3
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.si
      ref_id: mp.si.3
      name: Custodia
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.si.3.1
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.si.3
      ref_id: mp.si.3.1
      description: "Se aplicar\xE1 la debida diligencia y control a los soportes de\
        \ informaci\xF3n que permanecen bajo la responsabilidad de la organizaci\xF3\
        n, garantizando el control de acceso con medidas f\xEDsicas ([mp.if.1] y [mp.if.7])\
        \ o l\xF3gicas ([mp.si.2])."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: mp.si.3.\n\
        \u2013 Categor\xEDa MEDIA: mp.si.3.\n\u2013 Categor\xEDa ALTA: mp.si.3.\n\
        P\xE1gina 74"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.si.3.2
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.si.3
      ref_id: mp.si.3.2
      description: "Se respetar\xE1n las exigencias de mantenimiento del fabricante,\
        \ en especial, en lo referente a temperatura, humedad y otros agentes medioambientales."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: mp.si.3.\n\
        \u2013 Categor\xEDa MEDIA: mp.si.3.\n\u2013 Categor\xEDa ALTA: mp.si.3.\n\
        P\xE1gina 74"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.si.4
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.si
      ref_id: mp.si.4
      name: Transporte
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node614
      assessable: false
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.si.4
      description: "El responsable del sistema garantizar\xE1 que los dispositivos\
        \ permanecen bajo control y que satisfacen sus requisitos de seguridad mientras\
        \ est\xE1n siendo desplazados de un lugar a otro, fuera de las zonas controladas\
        \ por la organizaci\xF3n."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: mp.si.4.\n\
        \u2013 Categor\xEDa MEDIA: mp.si.4.\n\u2013 Categor\xEDa ALTA: mp.si.4."
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.si.4.1
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node614
      ref_id: mp.si.4.1
      description: "Se dispondr\xE1 de un registro de entrada/salida que identifique\
        \ al transportista que entrega/recibe el soporte."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: mp.si.4.\n\
        \u2013 Categor\xEDa MEDIA: mp.si.4.\n\u2013 Categor\xEDa ALTA: mp.si.4."
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.si.4.2
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node614
      ref_id: mp.si.4.2
      description: "Se dispondr\xE1 de un procedimiento rutinario que coteje las salidas\
        \ con las llegadas y levante las alarmas pertinentes cuando se detecte alg\xFA\
        n incidente."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: mp.si.4.\n\
        \u2013 Categor\xEDa MEDIA: mp.si.4.\n\u2013 Categor\xEDa ALTA: mp.si.4."
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.si.4.3
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node614
      ref_id: mp.si.4.3
      description: "Se utilizar\xE1n los medios de protecci\xF3n criptogr\xE1fica\
        \ ([mp.si.2]) correspondientes al mayor nivel de seguridad de la informaci\xF3\
        n contenida."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: mp.si.4.\n\
        \u2013 Categor\xEDa MEDIA: mp.si.4.\n\u2013 Categor\xEDa ALTA: mp.si.4."
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.si.4.4
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node614
      ref_id: mp.si.4.4
      description: "Se gestionar\xE1n las claves seg\xFAn [op.exp.10]."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: mp.si.4.\n\
        \u2013 Categor\xEDa MEDIA: mp.si.4.\n\u2013 Categor\xEDa ALTA: mp.si.4."
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.si.5
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.si
      ref_id: mp.si.5
      name: "Borrado y destrucci\xF3n"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node620
      assessable: false
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.si.5
      description: "La medida de borrado y destrucci\xF3n de soportes de informaci\xF3\
        n se aplicar\xE1 a todo tipo de equipos y soportes susceptibles de almacenar\
        \ informaci\xF3n, incluyendo medios electr\xF3nicos y no electr\xF3nicos."
      annotation: "Aplicaci\xF3n de la medida (por confidencialidad).\n\u2013 Nivel\
        \ BAJO: mp.si.5.\n\u2013 Nivel MEDIO: mp.si.5 + R1.\n\u2013 Nivel ALTO: mp.si.5\
        \ + R1.\nRefuerzo R1-Productos certificados.\n\u2013 [mp.si.5.r1.1] Se usar\xE1\
        n productos o servicios que cumplan lo establecido en [op.pl.5].\nRefuerzo\
        \ R2 - Destrucci\xF3n de soportes.\n\u2013 [mp.si.5.r2.1] Una vez finalizado\
        \ el ciclo de vida del soporte de informaci\xF3n, deber\xE1 ser destruido\
        \ de forma segura conforme a los criterios establecidos por el CCN.\nP\xE1\
        gina 74"
      implementation_groups:
      - BAJO
      - MEDIO
      - ALTO
      - C
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.si.5.1
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.si.5
      ref_id: mp.si.5.1
      description: "Los soportes que vayan a ser reutilizados para otra informaci\xF3\
        n o liberados a otra organizaci\xF3n ser\xE1n objeto del borrado seguro de\
        \ su contenido que no permita su recuperaci\xF3n. Cuando la naturaleza del\
        \ soporte no permita un borrado seguro, el soporte no podr\xE1 ser reutilizado\
        \ en ning\xFAn otro sistema."
      annotation: "Aplicaci\xF3n de la medida (por confidencialidad).\n\u2013 Nivel\
        \ BAJO: mp.si.5.\n\u2013 Nivel MEDIO: mp.si.5 + R1.\n\u2013 Nivel ALTO: mp.si.5\
        \ + R1.\nRefuerzo R1-Productos certificados.\n\u2013 [mp.si.5.r1.1] Se usar\xE1\
        n productos o servicios que cumplan lo establecido en [op.pl.5].\nRefuerzo\
        \ R2 - Destrucci\xF3n de soportes.\n\u2013 [mp.si.5.r2.1] Una vez finalizado\
        \ el ciclo de vida del soporte de informaci\xF3n, deber\xE1 ser destruido\
        \ de forma segura conforme a los criterios establecidos por el CCN.\nP\xE1\
        gina 74"
      implementation_groups:
      - BAJO
      - MEDIO
      - ALTO
      - C
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node622
      assessable: false
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.si.5
      description: "Las gu\xEDas CCN-STIC del CCN precisar\xE1n los criterios para\
        \ definir como seguro un mecanismo de borrado o de destrucci\xF3n, en funci\xF3\
        n de la sensibilidad de la informaci\xF3n almacenada en el dispositivo."
      annotation: "Aplicaci\xF3n de la medida (por confidencialidad).\n\u2013 Nivel\
        \ BAJO: mp.si.5.\n\u2013 Nivel MEDIO: mp.si.5 + R1.\n\u2013 Nivel ALTO: mp.si.5\
        \ + R1.\nRefuerzo R1-Productos certificados.\n\u2013 [mp.si.5.r1.1] Se usar\xE1\
        n productos o servicios que cumplan lo establecido en [op.pl.5].\nRefuerzo\
        \ R2 - Destrucci\xF3n de soportes.\n\u2013 [mp.si.5.r2.1] Una vez finalizado\
        \ el ciclo de vida del soporte de informaci\xF3n, deber\xE1 ser destruido\
        \ de forma segura conforme a los criterios establecidos por el CCN.\nP\xE1\
        gina 74"
      implementation_groups:
      - BAJO
      - MEDIO
      - ALTO
      - C
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.sw
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-ii-5
      ref_id: mp.sw
      name: "Protecci\xF3n de las aplicaciones inform\xE1ticas"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.sw.1
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.sw
      ref_id: mp.sw.1
      name: Desarrollo de aplicaciones
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.sw.1.1
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.sw.1
      ref_id: mp.sw.1.1
      description: "El desarrollo de aplicaciones se realizar\xE1 sobre un sistema\
        \ diferente y separado del de producci\xF3n, no debiendo existir herramientas\
        \ o datos de desarrollo en el entorno de producci\xF3n, ni datos de producci\xF3\
        n en el de desarrollo."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: no\
        \ aplica.\n\u2013 Categor\xEDa MEDIA: mp.sw.1 + R1 + R2 + R3 + R4.\n\u2013\
        \ Categor\xEDa ALTA: mp.sw.1 + R1 + R2 + R3 + R4.\nRefuerzo R1-M\xEDnimo privilegio.\n\
        \u2013 [mp.sw.1.r1.1] Las aplicaciones se desarrollar\xE1n respetando el principio\
        \ de m\xEDnimo privilegio, accediendo \xFAnicamente a los recursos imprescindibles\
        \ para su funci\xF3n, y con los privilegios que sean indispensables.\nRefuerzo\
        \ R2-Metodolog\xEDa de desarrollo seguro.\n\u2013 [mp.sw.1.r2.1] Se aplicar\xE1\
        \ una metodolog\xEDa de desarrollo seguro reconocida que:\na) Tendr\xE1 en\
        \ consideraci\xF3n los aspectos de seguridad a lo largo de todo el ciclo de\
        \ vida.\nb) Incluir\xE1 normas de programaci\xF3n segura, especialmente: control\
        \ de asignaci\xF3n y liberaci\xF3n de memoria, desbordamiento de memoria (overflow).\n\
        c) Tratar\xE1 espec\xEDficamente los datos usados en pruebas.\nd) Permitir\xE1\
        \ la inspecci\xF3n del c\xF3digo fuente.\nRefuerzo R3-Seguridad desde el dise\xF1\
        o.\n\u2013 [mp.sw.1.r3.1] Los siguientes elementos ser\xE1n parte integral\
        \ del dise\xF1o del sistema:\na) Los mecanismos de identificaci\xF3n y autenticaci\xF3\
        n.\nb) Los mecanismos de protecci\xF3n de la informaci\xF3n tratada.\nc) La\
        \ generaci\xF3n y tratamiento de pistas de auditor\xEDa.\nRefuerzo R4-Datos\
        \ de pruebas.\n\u2013 [mp.sw.1.r4.1] Preferiblemente, las pruebas previas\
        \ a la implantaci\xF3n o modificaci\xF3n de los sistemas de informaci\xF3\
        n no se realizar\xE1n con datos reales. En caso de que fuese necesario recurrir\
        \ a datos reales se garantizar\xE1 el nivel de seguridad correspondiente.\n\
        Refuerzo R5-Lista de componentes software.\n\u2013 [mp.sw.1.r5.1] El desarrollador\
        \ elaborar\xE1 y mantendr\xE1 actualizada una relaci\xF3n formal de los componentes\
        \ software de terceros empleados en la aplicaci\xF3n o producto.\nSe mantendr\xE1\
        \ un hist\xF3rico de los componentes utilizados en las diferentes versiones\
        \ del software. El contenido m\xEDnimo de la lista de componentes, que contendr\xE1\
        , al menos, la identificaci\xF3n del componente, el fabricante y la versi\xF3\
        n empleada, se concretar\xE1 en una gu\xEDa CCN-STIC del CCN.\nP\xE1gina 75"
      implementation_groups:
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.sw.2
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.sw
      ref_id: mp.sw.2
      name: "Aceptaci\xF3n y puesta en servicio"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node627
      assessable: false
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.sw.2
      description: "Antes de pasar a producci\xF3n se comprobar\xE1 el correcto funcionamiento\
        \ de la aplicaci\xF3n."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: mp.sw.2.\n\
        \u2013 Categor\xEDa MEDIA: mp.sw.2 + R1.\n\u2013 Categor\xEDa ALTA: mp.sw.2\
        \ + R1.\nRefuerzo R1- Pruebas.\n\u2013 [mp.sw.2.r1.1] Las pruebas se realizar\xE1\
        n en un entorno aislado (pre-producci\xF3n).\nRefuerzo R2-Inspecci\xF3n de\
        \ c\xF3digo fuente.\n\u2013 [mp.sw.2.r2.1] Se realizar\xE1 una auditor\xED\
        a de c\xF3digo fuente.\nP\xE1gina 76"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.sw.2.1
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node627
      ref_id: mp.sw.2.1
      description: "Se comprobar\xE1 que:"
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: mp.sw.2.\n\
        \u2013 Categor\xEDa MEDIA: mp.sw.2 + R1.\n\u2013 Categor\xEDa ALTA: mp.sw.2\
        \ + R1.\nRefuerzo R1- Pruebas.\n\u2013 [mp.sw.2.r1.1] Las pruebas se realizar\xE1\
        n en un entorno aislado (pre-producci\xF3n).\nRefuerzo R2-Inspecci\xF3n de\
        \ c\xF3digo fuente.\n\u2013 [mp.sw.2.r2.1] Se realizar\xE1 una auditor\xED\
        a de c\xF3digo fuente.\nP\xE1gina 76"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.sw.2.1.a
      assessable: true
      depth: 7
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.sw.2.1
      ref_id: mp.sw.2.1.a
      description: "Se cumplen los criterios de aceptaci\xF3n en materia de seguridad."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: mp.sw.2.\n\
        \u2013 Categor\xEDa MEDIA: mp.sw.2 + R1.\n\u2013 Categor\xEDa ALTA: mp.sw.2\
        \ + R1.\nRefuerzo R1- Pruebas.\n\u2013 [mp.sw.2.r1.1] Las pruebas se realizar\xE1\
        n en un entorno aislado (pre-producci\xF3n).\nRefuerzo R2-Inspecci\xF3n de\
        \ c\xF3digo fuente.\n\u2013 [mp.sw.2.r2.1] Se realizar\xE1 una auditor\xED\
        a de c\xF3digo fuente.\nP\xE1gina 76"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.sw.2.1.b
      assessable: true
      depth: 7
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.sw.2.1
      ref_id: mp.sw.2.1.b
      description: No se deteriora la seguridad de otros componentes del servicio.
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: mp.sw.2.\n\
        \u2013 Categor\xEDa MEDIA: mp.sw.2 + R1.\n\u2013 Categor\xEDa ALTA: mp.sw.2\
        \ + R1.\nRefuerzo R1- Pruebas.\n\u2013 [mp.sw.2.r1.1] Las pruebas se realizar\xE1\
        n en un entorno aislado (pre-producci\xF3n).\nRefuerzo R2-Inspecci\xF3n de\
        \ c\xF3digo fuente.\n\u2013 [mp.sw.2.r2.1] Se realizar\xE1 una auditor\xED\
        a de c\xF3digo fuente.\nP\xE1gina 76"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.info
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-ii-5
      ref_id: mp.info
      name: "Protecci\xF3n de la informaci\xF3n"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.info.1
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.info
      ref_id: mp.info.1
      name: Datos personales
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.info.1.1
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.info.1
      ref_id: mp.info.1.1
      description: "Cuando el sistema trate datos personales, el responsable de seguridad\
        \ recoger\xE1 los requisitos de protecci\xF3n de datos que sean fijados por\
        \ el responsable o por el encargado del tratamiento, contando con el asesoramiento\
        \ del DPD, y que sean necesarios implementar en los sistemas de acuerdo a\
        \ la naturaleza, alcance, contexto y fines del mismo, as\xED como de los riesgos\
        \ para los derechos y libertades de acuerdo a lo establecido en los art\xED\
        culos 24 y 32 del RGPD, y de acuerdo a la evaluaci\xF3n de impacto en la protecci\xF3\
        n de datos, si se ha llevado a cabo"
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: mp.info.1.\n\
        \u2013 Categor\xEDa MEDIA: mp.info.1.\n\u2013 Categor\xEDa ALTA: mp.info.1.\n\
        P\xE1gina 77"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.info.2
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.info
      ref_id: mp.info.2
      name: "Calificaci\xF3n de la informaci\xF3n"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.info.2.1
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.info.2
      ref_id: mp.info.2.1
      description: "Para calificar la informaci\xF3n se estar\xE1 a lo establecido\
        \ legalmente por las leyes y tratados internacionales de los que Espa\xF1\
        a es miembro y su normativa de aplicaci\xF3n cuando se trate de materias clasificadas.\
        \ El valor a emplear en el caso de informaci\xF3n de materias no clasificadas\
        \ ser\xEDa USO OFICIAL para informaci\xF3n con alg\xFAn tipo de restricci\xF3\
        n en su manejo por su sensibilidad y confidencialidad"
      annotation: "Aplicaci\xF3n de la medida (por confidencialidad).\n\u2013 Nivel\
        \ BAJO: no aplica.\n\u2013 Nivel MEDIO: mp.info.2.\n\u2013 Nivel ALTO: mp.info.2.\n\
        P\xE1gina 77"
      implementation_groups:
      - MEDIO
      - ALTO
      - C
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.info.2.2
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.info.2
      ref_id: mp.info.2.2
      description: "La pol\xEDtica de seguridad establecer\xE1 qui\xE9n es el responsable\
        \ de cada informaci\xF3n manejada por el sistema."
      annotation: "Aplicaci\xF3n de la medida (por confidencialidad).\n\u2013 Nivel\
        \ BAJO: no aplica.\n\u2013 Nivel MEDIO: mp.info.2.\n\u2013 Nivel ALTO: mp.info.2.\n\
        P\xE1gina 77"
      implementation_groups:
      - MEDIO
      - ALTO
      - C
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.info.2.3
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.info.2
      ref_id: mp.info.2.3
      description: "La pol\xEDtica de seguridad recoger\xE1, directa o indirectamente,\
        \ los criterios que, en cada organizaci\xF3n, determinar\xE1n el nivel de\
        \ seguridad requerido, dentro del marco establecido en el art\xEDculo 40 y\
        \ los criterios generales se\xF1alados en el anexo I."
      annotation: "Aplicaci\xF3n de la medida (por confidencialidad).\n\u2013 Nivel\
        \ BAJO: no aplica.\n\u2013 Nivel MEDIO: mp.info.2.\n\u2013 Nivel ALTO: mp.info.2.\n\
        P\xE1gina 77"
      implementation_groups:
      - MEDIO
      - ALTO
      - C
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.info.2.4
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.info.2
      ref_id: mp.info.2.4
      description: "El responsable de cada informaci\xF3n seguir\xE1 los criterios\
        \ determinados en el apartado anterior para asignar a cada informaci\xF3n\
        \ el nivel de seguridad requerido, y ser\xE1 responsable de su documentaci\xF3\
        n y aprobaci\xF3n formal."
      annotation: "Aplicaci\xF3n de la medida (por confidencialidad).\n\u2013 Nivel\
        \ BAJO: no aplica.\n\u2013 Nivel MEDIO: mp.info.2.\n\u2013 Nivel ALTO: mp.info.2.\n\
        P\xE1gina 77"
      implementation_groups:
      - MEDIO
      - ALTO
      - C
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.info.2.5
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.info.2
      ref_id: mp.info.2.5
      description: "El responsable de cada informaci\xF3n en cada momento tendr\xE1\
        \ en exclusiva la potestad de modificar el nivel de seguridad requerido, de\
        \ acuerdo a los apartados anteriores."
      annotation: "Aplicaci\xF3n de la medida (por confidencialidad).\n\u2013 Nivel\
        \ BAJO: no aplica.\n\u2013 Nivel MEDIO: mp.info.2.\n\u2013 Nivel ALTO: mp.info.2.\n\
        P\xE1gina 77"
      implementation_groups:
      - MEDIO
      - ALTO
      - C
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.info.3
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.info
      ref_id: mp.info.3
      name: "Firma electr\xF3nica"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.info.3.1
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.info.3
      ref_id: mp.info.3.1
      description: "Se emplear\xE1 cualquier tipo de firma electr\xF3nica de los previstos\
        \ en el vigente ordenamiento jur\xEDdico, entre ellos, los sistemas de c\xF3\
        digo seguro de verificaci\xF3n vinculados a la Administraci\xF3n P\xFAblica,\
        \ \xF3rgano, organismo p\xFAblico o entidad de derecho p\xFAblico, en los\
        \ t\xE9rminos y condiciones establecidos en la Ley 39/2015, de 1 de octubre,\
        \ del Procedimiento Administrativo Com\xFAn de las Administraciones P\xFA\
        blicas, y en la Ley 40/2015, de 1 de octubre."
      annotation: "Aplicaci\xF3n de la medida (por integridad y autenticidad).\n\u2013\
        \ Nivel BAJO: mp.info.3.\n\u2013 Nivel MEDIO: mp.info.3 + R1 + R2 + R3.\n\u2013\
        \ Nivel ALTO: mp.info.3 + R1 + R2 + R3 + R4.\nP\xE1gina 78"
      implementation_groups:
      - BAJO
      - MEDIO
      - ALTO
      - I
      - A
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.info.4
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.info
      ref_id: mp.info.4
      name: Sellos de tiempo
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node643
      assessable: false
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.info.4
      description: "La utilizaci\xF3n de sellos de tiempo exigir\xE1 adoptar las siguientes\
        \ cautelas:"
      implementation_groups:
      - ALTO
      - T
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.info.4.1
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node643
      ref_id: mp.info.4.1
      description: "Los sellos de tiempo se aplicar\xE1n a aquella informaci\xF3n\
        \ que sea susceptible de ser utilizada como evidencia electr\xF3nica en el\
        \ futuro."
      annotation: "Aplicaci\xF3n de la medida (por trazabilidad).\n\u2013 Nivel BAJO:\
        \ no aplica.\n\u2013 Nivel MEDIO: no aplica.\n\u2013 Nivel ALTO: mp.info.4.\n\
        Refuerzo R1-Productos certificados.\n\u2013 [mp.info.4.r1.1.] Se utilizar\xE1\
        n productos certificados seg\xFAn [op.pl.5].\n\u2013 [mp.info.4.r1.2] Se asignar\xE1\
        \ una fecha y hora a un documento electr\xF3nico, conforme a lo establecido\
        \ en la gu\xEDa CCN-STIC Criptolog\xEDa de empleo en el ENS.\nP\xE1gina 79"
      implementation_groups:
      - ALTO
      - T
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.info.4.2
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node643
      ref_id: mp.info.4.2
      description: " Los datos pertinentes para la verificaci\xF3n posterior de la\
        \ fecha ser\xE1n tratados con la misma seguridad que la informaci\xF3n fechada\
        \ a efectos de disponibilidad, integridad y confidencialidad."
      annotation: "Aplicaci\xF3n de la medida (por trazabilidad).\n\u2013 Nivel BAJO:\
        \ no aplica.\n\u2013 Nivel MEDIO: no aplica.\n\u2013 Nivel ALTO: mp.info.4.\n\
        Refuerzo R1-Productos certificados.\n\u2013 [mp.info.4.r1.1.] Se utilizar\xE1\
        n productos certificados seg\xFAn [op.pl.5].\n\u2013 [mp.info.4.r1.2] Se asignar\xE1\
        \ una fecha y hora a un documento electr\xF3nico, conforme a lo establecido\
        \ en la gu\xEDa CCN-STIC Criptolog\xEDa de empleo en el ENS.\nP\xE1gina 79"
      implementation_groups:
      - ALTO
      - T
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.info.4.3
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node643
      ref_id: mp.info.4.3
      description: "Se renovar\xE1n regularmente los sellos de tiempo hasta que la\
        \ informaci\xF3n protegida ya no sea requerida por el proceso administrativo\
        \ al que da soporte, en su caso."
      annotation: "Aplicaci\xF3n de la medida (por trazabilidad).\n\u2013 Nivel BAJO:\
        \ no aplica.\n\u2013 Nivel MEDIO: no aplica.\n\u2013 Nivel ALTO: mp.info.4.\n\
        Refuerzo R1-Productos certificados.\n\u2013 [mp.info.4.r1.1.] Se utilizar\xE1\
        n productos certificados seg\xFAn [op.pl.5].\n\u2013 [mp.info.4.r1.2] Se asignar\xE1\
        \ una fecha y hora a un documento electr\xF3nico, conforme a lo establecido\
        \ en la gu\xEDa CCN-STIC Criptolog\xEDa de empleo en el ENS.\nP\xE1gina 79"
      implementation_groups:
      - ALTO
      - T
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.info.4.4
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node643
      ref_id: mp.info.4.4
      description: "Se emplear\xE1n \"sellos cualificados de tiempo electr\xF3nicos\"\
        \ atendiendo a lo dispuesto en el Reglamento (UE) n.\xBA 910/2014 y normativa\
        \ de desarrollo."
      annotation: "Aplicaci\xF3n de la medida (por trazabilidad).\n\u2013 Nivel BAJO:\
        \ no aplica.\n\u2013 Nivel MEDIO: no aplica.\n\u2013 Nivel ALTO: mp.info.4.\n\
        Refuerzo R1-Productos certificados.\n\u2013 [mp.info.4.r1.1.] Se utilizar\xE1\
        n productos certificados seg\xFAn [op.pl.5].\n\u2013 [mp.info.4.r1.2] Se asignar\xE1\
        \ una fecha y hora a un documento electr\xF3nico, conforme a lo establecido\
        \ en la gu\xEDa CCN-STIC Criptolog\xEDa de empleo en el ENS.\nP\xE1gina 79"
      implementation_groups:
      - ALTO
      - T
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.info.5
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.info
      ref_id: mp.info.5
      name: Limpieza de documentos
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.info.5.1
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.info.5
      ref_id: mp.info.5.1
      description: "En el proceso de limpieza de documentos, se retirar\xE1 de estos\
        \ toda la informaci\xF3n adicional contenida en campos ocultos, metadatos,\
        \ comentarios o revisiones anteriores, salvo cuando dicha informaci\xF3n sea\
        \ pertinente para el receptor del documento."
      annotation: "Aplicaci\xF3n de la medida (por confidencialidad).\n\u2013 Nivel\
        \ BAJO: mp.info.5.\n\u2013 Nivel MEDIO: mp.info.5.\n\u2013 Nivel ALTO: mp.info.5.\n\
        P\xE1gina 79"
      implementation_groups:
      - BAJO
      - MEDIO
      - ' ALTO'
      - C
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node650
      assessable: false
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.info.5
      description: "Esta medida es especialmente relevante cuando el documento se\
        \ difunde ampliamente, como ocurre cuando se ofrece al p\xFAblico en un servidor\
        \ web u otro tipo de repositorio de informaci\xF3n."
      implementation_groups:
      - BAJO
      - MEDIO
      - ' ALTO'
      - C
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.info.6
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.info
      ref_id: mp.info.6
      name: Copias de seguridad
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.info.6.1
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.info.6
      ref_id: mp.info.6.1
      description: "Se realizar\xE1n copias de seguridad que permitan recuperar datos\
        \ perdidos, accidental o intencionadamente. La periodicidad y los plazos de\
        \ retenci\xF3n de estas copias de seguridad se determinar\xE1n en la normativa\
        \ interna de la organizaci\xF3n relativa a copias de seguridad."
      annotation: "Aplicaci\xF3n de la medida (por disponibilidad)\n\u2013 Nivel BAJO:\
        \ mp.info.6.\n\u2013 Nivel MEDIO: mp.info.6+ R1.\n\u2013 Nivel ALTO: mp.info.6+\
        \ R1 + R2.\nRefuerzo R1-Pruebas de recuperaci\xF3n.\n\u2013 [mp.info.6.r1.1]\
        \ Los procedimientos de copia de seguridad y restauraci\xF3n deben probarse\
        \ regularmente. Su frecuencia depender\xE1 de la criticidad de los datos y\
        \ del impacto que cause la falta de disponibilidad.\nRefuerzo R2-Protecci\xF3\
        n de las copias de seguridad.\n\u2013 [mp.info.6.r2.1] Al menos, una de las\
        \ copias de seguridad se almacenar\xE1 de forma separada en lugar diferente,\
        \ de tal manera que un incidente no pueda afectar tanto al repositorio original\
        \ como a la copia simult\xE1neamente.\nP\xE1gina 80"
      implementation_groups:
      - BAJO
      - MEDIO
      - ' ALTO'
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.info.6.2
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.info.6
      ref_id: mp.info.6.2
      description: "Los procedimientos de respaldo establecidos indicar\xE1n:"
      annotation: "Aplicaci\xF3n de la medida (por disponibilidad)\n\u2013 Nivel BAJO:\
        \ mp.info.6.\n\u2013 Nivel MEDIO: mp.info.6+ R1.\n\u2013 Nivel ALTO: mp.info.6+\
        \ R1 + R2.\nRefuerzo R1-Pruebas de recuperaci\xF3n.\n\u2013 [mp.info.6.r1.1]\
        \ Los procedimientos de copia de seguridad y restauraci\xF3n deben probarse\
        \ regularmente. Su frecuencia depender\xE1 de la criticidad de los datos y\
        \ del impacto que cause la falta de disponibilidad.\nRefuerzo R2-Protecci\xF3\
        n de las copias de seguridad.\n\u2013 [mp.info.6.r2.1] Al menos, una de las\
        \ copias de seguridad se almacenar\xE1 de forma separada en lugar diferente,\
        \ de tal manera que un incidente no pueda afectar tanto al repositorio original\
        \ como a la copia simult\xE1neamente.\nP\xE1gina 80"
      implementation_groups:
      - BAJO
      - MEDIO
      - ' ALTO'
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.info.6.2.a
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.info.6.2
      ref_id: mp.info.6.2.a
      description: Frecuencia de las copias.
      annotation: "Aplicaci\xF3n de la medida (por disponibilidad)\n\u2013 Nivel BAJO:\
        \ mp.info.6.\n\u2013 Nivel MEDIO: mp.info.6+ R1.\n\u2013 Nivel ALTO: mp.info.6+\
        \ R1 + R2.\nRefuerzo R1-Pruebas de recuperaci\xF3n.\n\u2013 [mp.info.6.r1.1]\
        \ Los procedimientos de copia de seguridad y restauraci\xF3n deben probarse\
        \ regularmente. Su frecuencia depender\xE1 de la criticidad de los datos y\
        \ del impacto que cause la falta de disponibilidad.\nRefuerzo R2-Protecci\xF3\
        n de las copias de seguridad.\n\u2013 [mp.info.6.r2.1] Al menos, una de las\
        \ copias de seguridad se almacenar\xE1 de forma separada en lugar diferente,\
        \ de tal manera que un incidente no pueda afectar tanto al repositorio original\
        \ como a la copia simult\xE1neamente.\nP\xE1gina 80"
      implementation_groups:
      - BAJO
      - MEDIO
      - ' ALTO'
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.info.6.2.b
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.info.6.2
      ref_id: mp.info.6.2.b
      description: Requisitos de almacenamiento en el propio lugar.
      annotation: "Aplicaci\xF3n de la medida (por disponibilidad)\n\u2013 Nivel BAJO:\
        \ mp.info.6.\n\u2013 Nivel MEDIO: mp.info.6+ R1.\n\u2013 Nivel ALTO: mp.info.6+\
        \ R1 + R2.\nRefuerzo R1-Pruebas de recuperaci\xF3n.\n\u2013 [mp.info.6.r1.1]\
        \ Los procedimientos de copia de seguridad y restauraci\xF3n deben probarse\
        \ regularmente. Su frecuencia depender\xE1 de la criticidad de los datos y\
        \ del impacto que cause la falta de disponibilidad.\nRefuerzo R2-Protecci\xF3\
        n de las copias de seguridad.\n\u2013 [mp.info.6.r2.1] Al menos, una de las\
        \ copias de seguridad se almacenar\xE1 de forma separada en lugar diferente,\
        \ de tal manera que un incidente no pueda afectar tanto al repositorio original\
        \ como a la copia simult\xE1neamente.\nP\xE1gina 80"
      implementation_groups:
      - BAJO
      - MEDIO
      - ' ALTO'
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.info.6.2.c
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.info.6.2
      ref_id: mp.info.6.2.c
      description: Requisitos de almacenamiento en otros lugares.
      annotation: "Aplicaci\xF3n de la medida (por disponibilidad)\n\u2013 Nivel BAJO:\
        \ mp.info.6.\n\u2013 Nivel MEDIO: mp.info.6+ R1.\n\u2013 Nivel ALTO: mp.info.6+\
        \ R1 + R2.\nRefuerzo R1-Pruebas de recuperaci\xF3n.\n\u2013 [mp.info.6.r1.1]\
        \ Los procedimientos de copia de seguridad y restauraci\xF3n deben probarse\
        \ regularmente. Su frecuencia depender\xE1 de la criticidad de los datos y\
        \ del impacto que cause la falta de disponibilidad.\nRefuerzo R2-Protecci\xF3\
        n de las copias de seguridad.\n\u2013 [mp.info.6.r2.1] Al menos, una de las\
        \ copias de seguridad se almacenar\xE1 de forma separada en lugar diferente,\
        \ de tal manera que un incidente no pueda afectar tanto al repositorio original\
        \ como a la copia simult\xE1neamente.\nP\xE1gina 80"
      implementation_groups:
      - BAJO
      - MEDIO
      - ' ALTO'
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.info.6.2.d
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.info.6.2
      ref_id: mp.info.6.2.d
      description: Controles para el acceso autorizado a las copias de respaldo.
      annotation: "Aplicaci\xF3n de la medida (por disponibilidad)\n\u2013 Nivel BAJO:\
        \ mp.info.6.\n\u2013 Nivel MEDIO: mp.info.6+ R1.\n\u2013 Nivel ALTO: mp.info.6+\
        \ R1 + R2.\nRefuerzo R1-Pruebas de recuperaci\xF3n.\n\u2013 [mp.info.6.r1.1]\
        \ Los procedimientos de copia de seguridad y restauraci\xF3n deben probarse\
        \ regularmente. Su frecuencia depender\xE1 de la criticidad de los datos y\
        \ del impacto que cause la falta de disponibilidad.\nRefuerzo R2-Protecci\xF3\
        n de las copias de seguridad.\n\u2013 [mp.info.6.r2.1] Al menos, una de las\
        \ copias de seguridad se almacenar\xE1 de forma separada en lugar diferente,\
        \ de tal manera que un incidente no pueda afectar tanto al repositorio original\
        \ como a la copia simult\xE1neamente.\nP\xE1gina 80"
      implementation_groups:
      - BAJO
      - MEDIO
      - ' ALTO'
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.s
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:anexo-ii-5
      ref_id: mp.s
      name: "Protecci\xF3n de los servicios"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.s.1
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.s
      ref_id: mp.s.1
      name: "Protecci\xF3n del correo electr\xF3nico"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node660
      assessable: false
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.s.1
      description: "El correo electr\xF3nico se proteger\xE1 frente a las amenazas\
        \ que le son propias, actuando del siguiente modo:"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.s.1.1
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node660
      ref_id: mp.s.1.1
      description: "La informaci\xF3n distribuida por medio de correo electr\xF3nico\
        \ se proteger\xE1, tanto en el cuerpo de los mensajes como en los anexos"
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: mp.s.1.\n\
        \u2013 Categor\xEDa MEDIA: mp.s.1.\n\u2013 Categor\xEDa ALTA: mp.s.1.\nP\xE1\
        gina 80"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.s.1.2
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node660
      ref_id: mp.s.1.2
      description: "Se proteger\xE1 la informaci\xF3n de encaminamiento de mensajes\
        \ y establecimiento de conexiones."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: mp.s.1.\n\
        \u2013 Categor\xEDa MEDIA: mp.s.1.\n\u2013 Categor\xEDa ALTA: mp.s.1.\nP\xE1\
        gina 80"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node663
      assessable: false
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.s.1
      description: "Se proteger\xE1 a la organizaci\xF3n frente a problemas que se\
        \ materializan por medio del correo electr\xF3nico, en concreto:"
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: mp.s.1.\n\
        \u2013 Categor\xEDa MEDIA: mp.s.1.\n\u2013 Categor\xEDa ALTA: mp.s.1.\nP\xE1\
        gina 80"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.s.1.3
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node663
      ref_id: mp.s.1.3
      description: "Correo no solicitado, en su expresi\xF3n inglesa \xABspam\xBB."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: mp.s.1.\n\
        \u2013 Categor\xEDa MEDIA: mp.s.1.\n\u2013 Categor\xEDa ALTA: mp.s.1.\nP\xE1\
        gina 80"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.s.1.4
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node663
      ref_id: mp.s.1.4
      description: "C\xF3digo da\xF1ino, constituidos por virus, gusanos, troyanos,\
        \ esp\xEDas, u otros de naturaleza an\xE1loga."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: mp.s.1.\n\
        \u2013 Categor\xEDa MEDIA: mp.s.1.\n\u2013 Categor\xEDa ALTA: mp.s.1.\nP\xE1\
        gina 80"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.s.1.5
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node663
      ref_id: mp.s.1.5
      description: "C\xF3digo m\xF3vil de tipo micro-aplicaci\xF3n, en su expresi\xF3\
        n inglesa \xABapplet\xBB."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: mp.s.1.\n\
        \u2013 Categor\xEDa MEDIA: mp.s.1.\n\u2013 Categor\xEDa ALTA: mp.s.1.\nP\xE1\
        gina 80"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node667
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.s.1
      description: "Se establecer\xE1n normas de uso del correo electr\xF3nico para\
        \ el personal. (Ver [org.2]). Estas normas de uso contendr\xE1n:"
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: mp.s.1.\n\
        \u2013 Categor\xEDa MEDIA: mp.s.1.\n\u2013 Categor\xEDa ALTA: mp.s.1.\nP\xE1\
        gina 80"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.s.1.6
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node667
      ref_id: mp.s.1.6
      description: Limitaciones al uso como soporte de comunicaciones privadas.
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: mp.s.1.\n\
        \u2013 Categor\xEDa MEDIA: mp.s.1.\n\u2013 Categor\xEDa ALTA: mp.s.1.\nP\xE1\
        gina 80"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.s.1.7
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node667
      ref_id: mp.s.1.7
      description: "Actividades de concienciaci\xF3n y formaci\xF3n relativas al uso\
        \ del correo electr\xF3nico."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: mp.s.1.\n\
        \u2013 Categor\xEDa MEDIA: mp.s.1.\n\u2013 Categor\xEDa ALTA: mp.s.1.\nP\xE1\
        gina 80"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.s.2
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.s
      ref_id: mp.s.2
      name: "Protecci\xF3n de servicios y aplicaciones web"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node671
      assessable: false
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.s.2
      description: "Los sistemas que prestan servicios web deber\xE1n ser protegidos\
        \ frente a las siguientes amenazas:"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.s.2.1
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node671
      ref_id: mp.s.2.1
      description: "Cuando la informaci\xF3n requiera control de acceso se garantizar\xE1\
        \ la imposibilidad de acceder a la informaci\xF3n obviando la autenticaci\xF3\
        n, en particular, tomando medidas en los siguientes aspectos:"
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: mp.s.2\
        \ + [R1 o R2].\n\u2013 Categor\xEDa MEDIA: mp.s.2 + [R1 o R2].\n\u2013 Categor\xED\
        a ALTA: mp.s.2 + R2 + R3.\nRefuerzo R1-Auditor\xEDas de seguridad.\n\u2013\
        \ [mp.s.2.r1.1] Se realizar\xE1n auditor\xEDas continuas de seguridad de \xAB\
        caja negra\xBB sobre las aplicaciones web durante la fase de desarrollo y\
        \ antes de la fase de producci\xF3n.\n\u2013 [mp.s.2.r1.2] La frecuencia de\
        \ estas auditor\xEDas de seguridad quedar\xE1 definida en el procedimiento\
        \ de auditor\xEDa.\nRefuerzo R2-Auditor\xEDas de seguridad avanzada.\n\u2013\
        \ [mp.s.2.r2.1] Se realizar\xE1n auditor\xEDas de seguridad de \xABcaja blanca\xBB\
        \ sobre las aplicaciones web durante la fase de desarrollo.\n\u2013 [mp.s.2.r2.2]\
        \ Se emplear\xE1n metodolog\xEDas definidas y herramientas autom\xE1ticas\
        \ de detecci\xF3n de vulnerabilidades en la realizaci\xF3n de las auditor\xED\
        as de seguridad sobre las aplicaciones web.\n\u2013 [mp.s.2.r2.3] Una vez\
        \ finalizada una auditor\xEDa de seguridad, se analizar\xE1n los resultados\
        \ y se solventar\xE1n las vulnerabilidades encontradas mediante los procedimientos\
        \ definidos [op.exp.5].\nRefuerzo R3-Protecci\xF3n de las cach\xE9s.\n\u2013\
        \ [mp.s.2.r3.1] Se prevendr\xE1n ataques de manipulaci\xF3n de programas o\
        \ dispositivos que realizan una acci\xF3n en representaci\xF3n de otros, conocidos\
        \ en terminolog\xEDa inglesa como \"proxies\" y, sistemas especiales de almacenamiento\
        \ de alta velocidad, conocidos en terminolog\xEDa inglesa como \"cach\xE9\
        s\".\nP\xE1gina 81"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.s.2.1.a
      assessable: true
      depth: 7
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.s.2.1
      ref_id: mp.s.2.1.a
      description: "Se evitar\xE1 que el servidor ofrezca acceso a los documentos\
        \ por v\xEDas alternativas al protocolo determinado."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: mp.s.2\
        \ + [R1 o R2].\n\u2013 Categor\xEDa MEDIA: mp.s.2 + [R1 o R2].\n\u2013 Categor\xED\
        a ALTA: mp.s.2 + R2 + R3.\nRefuerzo R1-Auditor\xEDas de seguridad.\n\u2013\
        \ [mp.s.2.r1.1] Se realizar\xE1n auditor\xEDas continuas de seguridad de \xAB\
        caja negra\xBB sobre las aplicaciones web durante la fase de desarrollo y\
        \ antes de la fase de producci\xF3n.\n\u2013 [mp.s.2.r1.2] La frecuencia de\
        \ estas auditor\xEDas de seguridad quedar\xE1 definida en el procedimiento\
        \ de auditor\xEDa.\nRefuerzo R2-Auditor\xEDas de seguridad avanzada.\n\u2013\
        \ [mp.s.2.r2.1] Se realizar\xE1n auditor\xEDas de seguridad de \xABcaja blanca\xBB\
        \ sobre las aplicaciones web durante la fase de desarrollo.\n\u2013 [mp.s.2.r2.2]\
        \ Se emplear\xE1n metodolog\xEDas definidas y herramientas autom\xE1ticas\
        \ de detecci\xF3n de vulnerabilidades en la realizaci\xF3n de las auditor\xED\
        as de seguridad sobre las aplicaciones web.\n\u2013 [mp.s.2.r2.3] Una vez\
        \ finalizada una auditor\xEDa de seguridad, se analizar\xE1n los resultados\
        \ y se solventar\xE1n las vulnerabilidades encontradas mediante los procedimientos\
        \ definidos [op.exp.5].\nRefuerzo R3-Protecci\xF3n de las cach\xE9s.\n\u2013\
        \ [mp.s.2.r3.1] Se prevendr\xE1n ataques de manipulaci\xF3n de programas o\
        \ dispositivos que realizan una acci\xF3n en representaci\xF3n de otros, conocidos\
        \ en terminolog\xEDa inglesa como \"proxies\" y, sistemas especiales de almacenamiento\
        \ de alta velocidad, conocidos en terminolog\xEDa inglesa como \"cach\xE9\
        s\".\nP\xE1gina 81"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.s.2.1.b
      assessable: true
      depth: 7
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.s.2.1
      ref_id: mp.s.2.1.b
      description: "Se prevendr\xE1n ataques de manipulaci\xF3n del localizador uniforme\
        \ de recursos (Uniform Resource Locator, URL)."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: mp.s.2\
        \ + [R1 o R2].\n\u2013 Categor\xEDa MEDIA: mp.s.2 + [R1 o R2].\n\u2013 Categor\xED\
        a ALTA: mp.s.2 + R2 + R3.\nRefuerzo R1-Auditor\xEDas de seguridad.\n\u2013\
        \ [mp.s.2.r1.1] Se realizar\xE1n auditor\xEDas continuas de seguridad de \xAB\
        caja negra\xBB sobre las aplicaciones web durante la fase de desarrollo y\
        \ antes de la fase de producci\xF3n.\n\u2013 [mp.s.2.r1.2] La frecuencia de\
        \ estas auditor\xEDas de seguridad quedar\xE1 definida en el procedimiento\
        \ de auditor\xEDa.\nRefuerzo R2-Auditor\xEDas de seguridad avanzada.\n\u2013\
        \ [mp.s.2.r2.1] Se realizar\xE1n auditor\xEDas de seguridad de \xABcaja blanca\xBB\
        \ sobre las aplicaciones web durante la fase de desarrollo.\n\u2013 [mp.s.2.r2.2]\
        \ Se emplear\xE1n metodolog\xEDas definidas y herramientas autom\xE1ticas\
        \ de detecci\xF3n de vulnerabilidades en la realizaci\xF3n de las auditor\xED\
        as de seguridad sobre las aplicaciones web.\n\u2013 [mp.s.2.r2.3] Una vez\
        \ finalizada una auditor\xEDa de seguridad, se analizar\xE1n los resultados\
        \ y se solventar\xE1n las vulnerabilidades encontradas mediante los procedimientos\
        \ definidos [op.exp.5].\nRefuerzo R3-Protecci\xF3n de las cach\xE9s.\n\u2013\
        \ [mp.s.2.r3.1] Se prevendr\xE1n ataques de manipulaci\xF3n de programas o\
        \ dispositivos que realizan una acci\xF3n en representaci\xF3n de otros, conocidos\
        \ en terminolog\xEDa inglesa como \"proxies\" y, sistemas especiales de almacenamiento\
        \ de alta velocidad, conocidos en terminolog\xEDa inglesa como \"cach\xE9\
        s\".\nP\xE1gina 81"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.s.2.1.c
      assessable: true
      depth: 7
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.s.2.1
      ref_id: mp.s.2.1.c
      description: "Se prevendr\xE1n ataques de manipulaci\xF3n de fragmentos de informaci\xF3\
        n que se almacena en el disco duro del visitante de una p\xE1gina web a trav\xE9\
        s de su navegador, a petici\xF3n del servidor de la p\xE1gina, conocido en\
        \ terminolog\xEDa inglesa como cookies."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: mp.s.2\
        \ + [R1 o R2].\n\u2013 Categor\xEDa MEDIA: mp.s.2 + [R1 o R2].\n\u2013 Categor\xED\
        a ALTA: mp.s.2 + R2 + R3.\nRefuerzo R1-Auditor\xEDas de seguridad.\n\u2013\
        \ [mp.s.2.r1.1] Se realizar\xE1n auditor\xEDas continuas de seguridad de \xAB\
        caja negra\xBB sobre las aplicaciones web durante la fase de desarrollo y\
        \ antes de la fase de producci\xF3n.\n\u2013 [mp.s.2.r1.2] La frecuencia de\
        \ estas auditor\xEDas de seguridad quedar\xE1 definida en el procedimiento\
        \ de auditor\xEDa.\nRefuerzo R2-Auditor\xEDas de seguridad avanzada.\n\u2013\
        \ [mp.s.2.r2.1] Se realizar\xE1n auditor\xEDas de seguridad de \xABcaja blanca\xBB\
        \ sobre las aplicaciones web durante la fase de desarrollo.\n\u2013 [mp.s.2.r2.2]\
        \ Se emplear\xE1n metodolog\xEDas definidas y herramientas autom\xE1ticas\
        \ de detecci\xF3n de vulnerabilidades en la realizaci\xF3n de las auditor\xED\
        as de seguridad sobre las aplicaciones web.\n\u2013 [mp.s.2.r2.3] Una vez\
        \ finalizada una auditor\xEDa de seguridad, se analizar\xE1n los resultados\
        \ y se solventar\xE1n las vulnerabilidades encontradas mediante los procedimientos\
        \ definidos [op.exp.5].\nRefuerzo R3-Protecci\xF3n de las cach\xE9s.\n\u2013\
        \ [mp.s.2.r3.1] Se prevendr\xE1n ataques de manipulaci\xF3n de programas o\
        \ dispositivos que realizan una acci\xF3n en representaci\xF3n de otros, conocidos\
        \ en terminolog\xEDa inglesa como \"proxies\" y, sistemas especiales de almacenamiento\
        \ de alta velocidad, conocidos en terminolog\xEDa inglesa como \"cach\xE9\
        s\".\nP\xE1gina 81"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.s.2.1.d
      assessable: true
      depth: 7
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.s.2.1
      ref_id: mp.s.2.1.d
      description: "Se prevendr\xE1n ataques de inyecci\xF3n de c\xF3digo."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: mp.s.2\
        \ + [R1 o R2].\n\u2013 Categor\xEDa MEDIA: mp.s.2 + [R1 o R2].\n\u2013 Categor\xED\
        a ALTA: mp.s.2 + R2 + R3.\nRefuerzo R1-Auditor\xEDas de seguridad.\n\u2013\
        \ [mp.s.2.r1.1] Se realizar\xE1n auditor\xEDas continuas de seguridad de \xAB\
        caja negra\xBB sobre las aplicaciones web durante la fase de desarrollo y\
        \ antes de la fase de producci\xF3n.\n\u2013 [mp.s.2.r1.2] La frecuencia de\
        \ estas auditor\xEDas de seguridad quedar\xE1 definida en el procedimiento\
        \ de auditor\xEDa.\nRefuerzo R2-Auditor\xEDas de seguridad avanzada.\n\u2013\
        \ [mp.s.2.r2.1] Se realizar\xE1n auditor\xEDas de seguridad de \xABcaja blanca\xBB\
        \ sobre las aplicaciones web durante la fase de desarrollo.\n\u2013 [mp.s.2.r2.2]\
        \ Se emplear\xE1n metodolog\xEDas definidas y herramientas autom\xE1ticas\
        \ de detecci\xF3n de vulnerabilidades en la realizaci\xF3n de las auditor\xED\
        as de seguridad sobre las aplicaciones web.\n\u2013 [mp.s.2.r2.3] Una vez\
        \ finalizada una auditor\xEDa de seguridad, se analizar\xE1n los resultados\
        \ y se solventar\xE1n las vulnerabilidades encontradas mediante los procedimientos\
        \ definidos [op.exp.5].\nRefuerzo R3-Protecci\xF3n de las cach\xE9s.\n\u2013\
        \ [mp.s.2.r3.1] Se prevendr\xE1n ataques de manipulaci\xF3n de programas o\
        \ dispositivos que realizan una acci\xF3n en representaci\xF3n de otros, conocidos\
        \ en terminolog\xEDa inglesa como \"proxies\" y, sistemas especiales de almacenamiento\
        \ de alta velocidad, conocidos en terminolog\xEDa inglesa como \"cach\xE9\
        s\".\nP\xE1gina 81"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.s.2.2
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node671
      ref_id: mp.s.2.2
      description: "Se prevendr\xE1n intentos de escalado de privilegios."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: mp.s.2\
        \ + [R1 o R2].\n\u2013 Categor\xEDa MEDIA: mp.s.2 + [R1 o R2].\n\u2013 Categor\xED\
        a ALTA: mp.s.2 + R2 + R3.\nRefuerzo R1-Auditor\xEDas de seguridad.\n\u2013\
        \ [mp.s.2.r1.1] Se realizar\xE1n auditor\xEDas continuas de seguridad de \xAB\
        caja negra\xBB sobre las aplicaciones web durante la fase de desarrollo y\
        \ antes de la fase de producci\xF3n.\n\u2013 [mp.s.2.r1.2] La frecuencia de\
        \ estas auditor\xEDas de seguridad quedar\xE1 definida en el procedimiento\
        \ de auditor\xEDa.\nRefuerzo R2-Auditor\xEDas de seguridad avanzada.\n\u2013\
        \ [mp.s.2.r2.1] Se realizar\xE1n auditor\xEDas de seguridad de \xABcaja blanca\xBB\
        \ sobre las aplicaciones web durante la fase de desarrollo.\n\u2013 [mp.s.2.r2.2]\
        \ Se emplear\xE1n metodolog\xEDas definidas y herramientas autom\xE1ticas\
        \ de detecci\xF3n de vulnerabilidades en la realizaci\xF3n de las auditor\xED\
        as de seguridad sobre las aplicaciones web.\n\u2013 [mp.s.2.r2.3] Una vez\
        \ finalizada una auditor\xEDa de seguridad, se analizar\xE1n los resultados\
        \ y se solventar\xE1n las vulnerabilidades encontradas mediante los procedimientos\
        \ definidos [op.exp.5].\nRefuerzo R3-Protecci\xF3n de las cach\xE9s.\n\u2013\
        \ [mp.s.2.r3.1] Se prevendr\xE1n ataques de manipulaci\xF3n de programas o\
        \ dispositivos que realizan una acci\xF3n en representaci\xF3n de otros, conocidos\
        \ en terminolog\xEDa inglesa como \"proxies\" y, sistemas especiales de almacenamiento\
        \ de alta velocidad, conocidos en terminolog\xEDa inglesa como \"cach\xE9\
        s\".\nP\xE1gina 81"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.s.2.3
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node671
      ref_id: mp.s.2.3
      description: "Se prevendr\xE1n ataques de cross site scripting."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: mp.s.2\
        \ + [R1 o R2].\n\u2013 Categor\xEDa MEDIA: mp.s.2 + [R1 o R2].\n\u2013 Categor\xED\
        a ALTA: mp.s.2 + R2 + R3.\nRefuerzo R1-Auditor\xEDas de seguridad.\n\u2013\
        \ [mp.s.2.r1.1] Se realizar\xE1n auditor\xEDas continuas de seguridad de \xAB\
        caja negra\xBB sobre las aplicaciones web durante la fase de desarrollo y\
        \ antes de la fase de producci\xF3n.\n\u2013 [mp.s.2.r1.2] La frecuencia de\
        \ estas auditor\xEDas de seguridad quedar\xE1 definida en el procedimiento\
        \ de auditor\xEDa.\nRefuerzo R2-Auditor\xEDas de seguridad avanzada.\n\u2013\
        \ [mp.s.2.r2.1] Se realizar\xE1n auditor\xEDas de seguridad de \xABcaja blanca\xBB\
        \ sobre las aplicaciones web durante la fase de desarrollo.\n\u2013 [mp.s.2.r2.2]\
        \ Se emplear\xE1n metodolog\xEDas definidas y herramientas autom\xE1ticas\
        \ de detecci\xF3n de vulnerabilidades en la realizaci\xF3n de las auditor\xED\
        as de seguridad sobre las aplicaciones web.\n\u2013 [mp.s.2.r2.3] Una vez\
        \ finalizada una auditor\xEDa de seguridad, se analizar\xE1n los resultados\
        \ y se solventar\xE1n las vulnerabilidades encontradas mediante los procedimientos\
        \ definidos [op.exp.5].\nRefuerzo R3-Protecci\xF3n de las cach\xE9s.\n\u2013\
        \ [mp.s.2.r3.1] Se prevendr\xE1n ataques de manipulaci\xF3n de programas o\
        \ dispositivos que realizan una acci\xF3n en representaci\xF3n de otros, conocidos\
        \ en terminolog\xEDa inglesa como \"proxies\" y, sistemas especiales de almacenamiento\
        \ de alta velocidad, conocidos en terminolog\xEDa inglesa como \"cach\xE9\
        s\".\nP\xE1gina 81"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.s.3
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.s
      ref_id: mp.s.3
      name: "Protecci\xF3n de la navegaci\xF3n web"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node680
      assessable: false
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.s.3
      description: "El acceso de los usuarios internos a la navegaci\xF3n por internet\
        \ se proteger\xE1 frente a las amenazas que le son propias, actuando del siguiente\
        \ modo:"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.s.3.1
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node680
      ref_id: mp.s.3.1
      description: "Se establecer\xE1 una normativa de utilizaci\xF3n, definiendo\
        \ el uso que se autoriza y las limitaciones de uso personal. En particular,\
        \ se concretar\xE1 el uso permitido de conexiones cifradas."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: mp.s.3.\n\
        \u2013 Categor\xEDa MEDIA: mp.s.3.\n\u2013 Categor\xEDa ALTA: mp.s.3 + R1.\n\
        Refuerzo R1 - Monitorizaci\xF3n.\n\u2013 [mp.s.3.r1.1] Se registrar\xE1 el\
        \ uso de la navegaci\xF3n web, estableciendo los elementos que se registran,\
        \ el periodo de retenci\xF3n de estos registros y el uso que el organismo\
        \ prev\xE9 hacer de ellos.  [mp.s.3.r1.2] Se establecer\xE1 una funci\xF3\
        n para la ruptura de canales cifrados a fin de inspeccionar su contenido,\
        \ indicando qu\xE9 se analiza, qu\xE9 se registra, durante cu\xE1nto tiempo\
        \ se retienen los registros y qu\xE9 uso prev\xE9 hacer el organismo de estas\
        \ inspecciones. Todo ello sin perjuicio de que se puedan autorizar accesos\
        \ cifrados singulares a destinos de confianza.\n\u2013 [mp.s.3.r1.3] Se establecer\xE1\
        \ una lista negra de destinos vetados.\nRefuerzo R2-Destinos autorizados.\n\
        \u2013 [mp.s.3.r2.1] Se establecer\xE1 una lista blanca de destinos accesibles.\
        \ Todo acceso fuera de los lugares se\xF1alados en la lista blanca estar\xE1\
        \ vetado, salvo autorizaci\xF3n singular expresa.\nP\xE1ginas 82-83"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.s.3.2
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node680
      ref_id: mp.s.3.2
      description: "Se llevar\xE1n a cabo regularmente actividades de concienciaci\xF3\
        n sobre higiene en la navegaci\xF3n web, fomentando el uso seguro y alertando\
        \ de usos incorrectos."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: mp.s.3.\n\
        \u2013 Categor\xEDa MEDIA: mp.s.3.\n\u2013 Categor\xEDa ALTA: mp.s.3 + R1.\n\
        Refuerzo R1 - Monitorizaci\xF3n.\n\u2013 [mp.s.3.r1.1] Se registrar\xE1 el\
        \ uso de la navegaci\xF3n web, estableciendo los elementos que se registran,\
        \ el periodo de retenci\xF3n de estos registros y el uso que el organismo\
        \ prev\xE9 hacer de ellos.  [mp.s.3.r1.2] Se establecer\xE1 una funci\xF3\
        n para la ruptura de canales cifrados a fin de inspeccionar su contenido,\
        \ indicando qu\xE9 se analiza, qu\xE9 se registra, durante cu\xE1nto tiempo\
        \ se retienen los registros y qu\xE9 uso prev\xE9 hacer el organismo de estas\
        \ inspecciones. Todo ello sin perjuicio de que se puedan autorizar accesos\
        \ cifrados singulares a destinos de confianza.\n\u2013 [mp.s.3.r1.3] Se establecer\xE1\
        \ una lista negra de destinos vetados.\nRefuerzo R2-Destinos autorizados.\n\
        \u2013 [mp.s.3.r2.1] Se establecer\xE1 una lista blanca de destinos accesibles.\
        \ Todo acceso fuera de los lugares se\xF1alados en la lista blanca estar\xE1\
        \ vetado, salvo autorizaci\xF3n singular expresa.\nP\xE1ginas 82-83"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.s.3.3
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node680
      ref_id: mp.s.3.3
      description: "Se formar\xE1 al personal encargado de la administraci\xF3n del\
        \ sistema en monitorizaci\xF3n del servicio y respuesta a incidentes."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: mp.s.3.\n\
        \u2013 Categor\xEDa MEDIA: mp.s.3.\n\u2013 Categor\xEDa ALTA: mp.s.3 + R1.\n\
        Refuerzo R1 - Monitorizaci\xF3n.\n\u2013 [mp.s.3.r1.1] Se registrar\xE1 el\
        \ uso de la navegaci\xF3n web, estableciendo los elementos que se registran,\
        \ el periodo de retenci\xF3n de estos registros y el uso que el organismo\
        \ prev\xE9 hacer de ellos.  [mp.s.3.r1.2] Se establecer\xE1 una funci\xF3\
        n para la ruptura de canales cifrados a fin de inspeccionar su contenido,\
        \ indicando qu\xE9 se analiza, qu\xE9 se registra, durante cu\xE1nto tiempo\
        \ se retienen los registros y qu\xE9 uso prev\xE9 hacer el organismo de estas\
        \ inspecciones. Todo ello sin perjuicio de que se puedan autorizar accesos\
        \ cifrados singulares a destinos de confianza.\n\u2013 [mp.s.3.r1.3] Se establecer\xE1\
        \ una lista negra de destinos vetados.\nRefuerzo R2-Destinos autorizados.\n\
        \u2013 [mp.s.3.r2.1] Se establecer\xE1 una lista blanca de destinos accesibles.\
        \ Todo acceso fuera de los lugares se\xF1alados en la lista blanca estar\xE1\
        \ vetado, salvo autorizaci\xF3n singular expresa.\nP\xE1ginas 82-83"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.s.3.4
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node680
      ref_id: mp.s.3.4
      description: "Se proteger\xE1 la informaci\xF3n de resoluci\xF3n de direcciones\
        \ web y de establecimiento de conexiones."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: mp.s.3.\n\
        \u2013 Categor\xEDa MEDIA: mp.s.3.\n\u2013 Categor\xEDa ALTA: mp.s.3 + R1.\n\
        Refuerzo R1 - Monitorizaci\xF3n.\n\u2013 [mp.s.3.r1.1] Se registrar\xE1 el\
        \ uso de la navegaci\xF3n web, estableciendo los elementos que se registran,\
        \ el periodo de retenci\xF3n de estos registros y el uso que el organismo\
        \ prev\xE9 hacer de ellos.  [mp.s.3.r1.2] Se establecer\xE1 una funci\xF3\
        n para la ruptura de canales cifrados a fin de inspeccionar su contenido,\
        \ indicando qu\xE9 se analiza, qu\xE9 se registra, durante cu\xE1nto tiempo\
        \ se retienen los registros y qu\xE9 uso prev\xE9 hacer el organismo de estas\
        \ inspecciones. Todo ello sin perjuicio de que se puedan autorizar accesos\
        \ cifrados singulares a destinos de confianza.\n\u2013 [mp.s.3.r1.3] Se establecer\xE1\
        \ una lista negra de destinos vetados.\nRefuerzo R2-Destinos autorizados.\n\
        \u2013 [mp.s.3.r2.1] Se establecer\xE1 una lista blanca de destinos accesibles.\
        \ Todo acceso fuera de los lugares se\xF1alados en la lista blanca estar\xE1\
        \ vetado, salvo autorizaci\xF3n singular expresa.\nP\xE1ginas 82-83"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.s.3.5
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node680
      ref_id: mp.s.3.5
      description: "Se proteger\xE1 a la organizaci\xF3n en general y al puesto de\
        \ trabajo en particular frente a problemas que se materializan v\xEDa navegaci\xF3\
        n web."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: mp.s.3.\n\
        \u2013 Categor\xEDa MEDIA: mp.s.3.\n\u2013 Categor\xEDa ALTA: mp.s.3 + R1.\n\
        Refuerzo R1 - Monitorizaci\xF3n.\n\u2013 [mp.s.3.r1.1] Se registrar\xE1 el\
        \ uso de la navegaci\xF3n web, estableciendo los elementos que se registran,\
        \ el periodo de retenci\xF3n de estos registros y el uso que el organismo\
        \ prev\xE9 hacer de ellos.  [mp.s.3.r1.2] Se establecer\xE1 una funci\xF3\
        n para la ruptura de canales cifrados a fin de inspeccionar su contenido,\
        \ indicando qu\xE9 se analiza, qu\xE9 se registra, durante cu\xE1nto tiempo\
        \ se retienen los registros y qu\xE9 uso prev\xE9 hacer el organismo de estas\
        \ inspecciones. Todo ello sin perjuicio de que se puedan autorizar accesos\
        \ cifrados singulares a destinos de confianza.\n\u2013 [mp.s.3.r1.3] Se establecer\xE1\
        \ una lista negra de destinos vetados.\nRefuerzo R2-Destinos autorizados.\n\
        \u2013 [mp.s.3.r2.1] Se establecer\xE1 una lista blanca de destinos accesibles.\
        \ Todo acceso fuera de los lugares se\xF1alados en la lista blanca estar\xE1\
        \ vetado, salvo autorizaci\xF3n singular expresa.\nP\xE1ginas 82-83"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.s.3.6
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node680
      ref_id: mp.s.3.6
      description: "Se proteger\xE1 contra la actuaci\xF3n de programas da\xF1inos\
        \ tales como p\xE1ginas activas, descargas de c\xF3digo ejecutable, etc.,\
        \ previniendo la exposici\xF3n del sistema a vectores de ataque del tipo spyware,\
        \ ransomware, etc"
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: mp.s.3.\n\
        \u2013 Categor\xEDa MEDIA: mp.s.3.\n\u2013 Categor\xEDa ALTA: mp.s.3 + R1.\n\
        Refuerzo R1 - Monitorizaci\xF3n.\n\u2013 [mp.s.3.r1.1] Se registrar\xE1 el\
        \ uso de la navegaci\xF3n web, estableciendo los elementos que se registran,\
        \ el periodo de retenci\xF3n de estos registros y el uso que el organismo\
        \ prev\xE9 hacer de ellos.  [mp.s.3.r1.2] Se establecer\xE1 una funci\xF3\
        n para la ruptura de canales cifrados a fin de inspeccionar su contenido,\
        \ indicando qu\xE9 se analiza, qu\xE9 se registra, durante cu\xE1nto tiempo\
        \ se retienen los registros y qu\xE9 uso prev\xE9 hacer el organismo de estas\
        \ inspecciones. Todo ello sin perjuicio de que se puedan autorizar accesos\
        \ cifrados singulares a destinos de confianza.\n\u2013 [mp.s.3.r1.3] Se establecer\xE1\
        \ una lista negra de destinos vetados.\nRefuerzo R2-Destinos autorizados.\n\
        \u2013 [mp.s.3.r2.1] Se establecer\xE1 una lista blanca de destinos accesibles.\
        \ Todo acceso fuera de los lugares se\xF1alados en la lista blanca estar\xE1\
        \ vetado, salvo autorizaci\xF3n singular expresa.\nP\xE1ginas 82-83"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.s.3.7
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node680
      ref_id: mp.s.3.7
      description: "Se establecer\xE1 una pol\xEDtica ejecutiva de control de cookies,\
        \ en particular, para evitar la contaminaci\xF3n entre uso personal y uso\
        \ organizativo."
      annotation: "Aplicaci\xF3n de la medida.\n\u2013 Categor\xEDa B\xC1SICA: mp.s.3.\n\
        \u2013 Categor\xEDa MEDIA: mp.s.3.\n\u2013 Categor\xEDa ALTA: mp.s.3 + R1.\n\
        Refuerzo R1 - Monitorizaci\xF3n.\n\u2013 [mp.s.3.r1.1] Se registrar\xE1 el\
        \ uso de la navegaci\xF3n web, estableciendo los elementos que se registran,\
        \ el periodo de retenci\xF3n de estos registros y el uso que el organismo\
        \ prev\xE9 hacer de ellos.  [mp.s.3.r1.2] Se establecer\xE1 una funci\xF3\
        n para la ruptura de canales cifrados a fin de inspeccionar su contenido,\
        \ indicando qu\xE9 se analiza, qu\xE9 se registra, durante cu\xE1nto tiempo\
        \ se retienen los registros y qu\xE9 uso prev\xE9 hacer el organismo de estas\
        \ inspecciones. Todo ello sin perjuicio de que se puedan autorizar accesos\
        \ cifrados singulares a destinos de confianza.\n\u2013 [mp.s.3.r1.3] Se establecer\xE1\
        \ una lista negra de destinos vetados.\nRefuerzo R2-Destinos autorizados.\n\
        \u2013 [mp.s.3.r2.1] Se establecer\xE1 una lista blanca de destinos accesibles.\
        \ Todo acceso fuera de los lugares se\xF1alados en la lista blanca estar\xE1\
        \ vetado, salvo autorizaci\xF3n singular expresa.\nP\xE1ginas 82-83"
      implementation_groups:
      - "B\xC1SICA"
      - MEDIA
      - ALTA
      - C
      - I
      - T
      - A
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.s.4
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.s
      ref_id: mp.s.4
      name: "Protecci\xF3n frente a la denegaci\xF3n de servicio"
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node689
      assessable: false
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.s.4
      description: "Se establecer\xE1n medidas preventivas frente a ataques de denegaci\xF3\
        n de servicio y denegaci\xF3n de servicio distribuido (Denial of Service,\
        \ DoS y Distributed Denial of Service, DDoS). Para ello:"
      implementation_groups:
      - MEDIO
      - ' ALTO'
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.s-4.1
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node689
      ref_id: mp.s 4.1
      description: " Se planificar\xE1 y dotar\xE1 al sistema de capacidad suficiente\
        \ para atender con holgura a la carga prevista."
      annotation: "Aplicaci\xF3n de la medida (por disponibilidad).\n\u2013 Nivel\
        \ BAJO: no aplica.\n\u2013 Nivel MEDIO: mp.s.4.\n\u2013 Nivel ALTO: mp.s.4+\
        \ R1.\nRefuerzo R1-Detecci\xF3n y reacci\xF3n.\n\u2013 [mp.s.4.r1.1] Se establecer\xE1\
        \ un sistema de detecci\xF3n y tratamiento de ataques de denegaci\xF3n de\
        \ servicio (DoS y DDoS).\n\u2013 [mp.s. 4.r1.2] Se establecer\xE1n procedimientos\
        \ de reacci\xF3n a los ataques, incluyendo la comunicaci\xF3n con el proveedor\
        \ de comunicaciones.\nRefuerzo R2-Ataques propios.\n\u2013 [mp.s.4.r2.1] Se\
        \ detectar\xE1 y se evitar\xE1 el lanzamiento de ataques desde las propias\
        \ instalaciones perjudicando a terceros.\nP\xE1gina 83"
      implementation_groups:
      - MEDIO
      - ' ALTO'
      - D
    - urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:mp.s-4.2
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:esquema-nacional-de-seguridad:node689
      ref_id: mp.s 4.2
      description: "Se desplegar\xE1n tecnolog\xEDas para prevenir los ataques conocidos."
      annotation: "Aplicaci\xF3n de la medida (por disponibilidad).\n\u2013 Nivel\
        \ BAJO: no aplica.\n\u2013 Nivel MEDIO: mp.s.4.\n\u2013 Nivel ALTO: mp.s.4+\
        \ R1.\nRefuerzo R1-Detecci\xF3n y reacci\xF3n.\n\u2013 [mp.s.4.r1.1] Se establecer\xE1\
        \ un sistema de detecci\xF3n y tratamiento de ataques de denegaci\xF3n de\
        \ servicio (DoS y DDoS).\n\u2013 [mp.s. 4.r1.2] Se establecer\xE1n procedimientos\
        \ de reacci\xF3n a los ataques, incluyendo la comunicaci\xF3n con el proveedor\
        \ de comunicaciones.\nRefuerzo R2-Ataques propios.\n\u2013 [mp.s.4.r2.1] Se\
        \ detectar\xE1 y se evitar\xE1 el lanzamiento de ataques desde las propias\
        \ instalaciones perjudicando a terceros.\nP\xE1gina 83"
      implementation_groups:
      - MEDIO
      - ' ALTO'
      - D