Guía para la Adecuación de Organizaciones al Esquema Nacional de Seguridad

Abstract

[ES] Este trabajo tiene como objetivo el desarrollo de una guía que sirva como apoyo a las organizaciones, tanto públicas como privadas, para el correcto cumplimiento del Real Decreto 3/2010. Se centra en el proceso de adecuación al Esquema Nacional de Seguridad, siguiendo la metodología PDCA y creando herramientas que permitan: la identificación de activos esenciales por parte de la entidad, la categorización de los sistemas de información en base al Anexo II del RD 3/2010, el análisis de riesgos de los sistemas, el plan de mejora de la seguridad, la declaración de aplicabilidad y el resto de documentación necesaria para el cumplimiento de la citada norma. La guía está nivelada en función de los conocimientos técnicos del lector, a fin de facilitar la aplicación de medidas de seguridad de forma eficaz. Por ello, se han establecido tres niveles de dificultad que permitien que sea un documento accesible a todas las personas, independientemente de la profundidad de sus conocimientos en el ámbito de la Ingeniería Informática. Además, se siguen las buenas prácticas sugeridas por el Centro Criptológico Nacional y se entrega a las personas usuarias la documentación necesaria para llevar a cabo una adecuación completa con el menor coste temporal posible.

[EN] This work aims to develop a guide that serves as support to organizations, both public and private, for the correct fulfillment of Royal Decree 3/2010. It is focused on the process of adaptation to the National Security Framework, following the PDCA methodology and creating tools that allow: the identification of essential assets by the entity, the categorization of information systems based on Annex II to RD 3/2010, the risk analysis of the systems, the security enhancement plan, the declaration of applicability and any other documentation necessary for compliance of that standard. The guide is graded according to the technical knowledge of the reader in order to facilitate the application of safety measures effectively. Therefore, three levels of difficulty have been established that allow it to be a document accessible to all people, regardless of the depth of their knowledge in the field of Computer Engineering. In addition, the best practices suggested by the National Cryptological Centre are being followed and the users are given the necessary documentation to carry out a complete adaptation with the least possible temporary cost.

[CA] Aquest treball té com a objectiu el desenvolupament d’una guia que servisca com a suport a les organitzacions, tant públiques com privades, per al correcte compliment del Reial decret 3/2010. Es centra en el procés d’adequació a l’Esquema Nacional de Seguretat, seguint la metodologia PDCA i creant eines que permeten: la identificació d’actius essencials per part de l’entitat, la categorització dels sistemes d’informació sobre la base de l’Annex II del RD 3/2010, l’anàlisi de riscos dels sistemes, el pla de millora de la seguretat, la declaració d’aplicabilitat i la resta de documentació necessària per al compliment de la citada norma. La guia està anivellada en funció dels coneixements tècnics del lector, a fi de facilitar l’aplicació de mesures de seguretat de manera eficaç. Per això, s’han establit tres nivells de dificultat que *permitien que siga un document accessible a totes les persones, independentment de la profunditat dels seus coneixements en l’àmbit de l’Enginyeria Informàtica. A més, se segueixen les bones pràctiques suggerides pel Centre *Criptológico Nacional i s’entrega a les persones usuàries la documentació necessària per a dur a terme una adequació completa amb el menor cost temporal possible.