Supuestos del entorno protegido
-
Gestión de la ciberseguridad: directrices actualizadas y disponibles sobre las pautas que rigen el uso de los activos de información y tecnología de su empresa.
-
Seguridad perimetral: los dispositivos instalados y fuera de servicio se encuentran en una ubicación supervisada y dotada de controles de acceso.
-
Alimentación de emergencia: el sistema de control ofrece la capacidad de conectar con una fuente de alimentación de emergencia sin que ello afecte al estado de seguridad existente ni genere un modo degradado documentado.
-
Actualizaciones de firmware: las actualizaciones de la central de medida se implementan sistemáticamente según la versión de firmware actual.
-
Controles anti-malware: se implantan controles de detección, prevención y recuperación que contribuyen a la protección contra el malware y se combinan con un nivel de concienciación de los usuarios adecuado.
-
Segmentación de redes físicas: el sistema de control ofrece la capacidad de:
-
Segmentar físicamente las redes del sistema de control para segregarlas de las redes ajenas al sistema de control.
-
Segmentar físicamente las redes críticas del sistema de control para segregarlas de las redes no críticas del sistema de control.
-
-
Aislamiento lógico de redes críticas: el sistema de control ofrece la capacidad de aislar lógica y físicamente las redes críticas del sistema de control críticas de las redes no críticas del sistema de control. Por ejemplo, mediante el uso de VLANs.
-
Independencia de las redes ajenas al sistema de control: el sistema de control ofrece servicios de red para controlar las redes del sistema, tanto críticas como no críticas, sin una conexión con las redes ajenas al sistema de control.
-
Cifre las transmisiones de protocolo en todas las conexiones externas usando un túnel de cifrado, una envoltura TLS o una solución similar.
-
Protección de límites de zona: el sistema de control ofrece la capacidad de:
-
Gestionar las conexiones a través de interfaces gestionadas formadas por dispositivos de protección de límites, tales como proxies, pasarelas, routers, firewalls y túneles cifrados.
-
Utilice una arquitectura eficaz, por ejemplo firewalls que protejan pasarelas de aplicación ubicadas en un DMZ.
-
Las protecciones de límites del sistema de control en cualquier emplazamiento de procesamiento alterno designado deben ofrecer el mismo nivel de protección que las del emplazamiento primario, por ejemplo, los centros de datos.
-
-
Sin conectividad pública con Internet: no se recomienda que sea posible acceder a Internet desde el sistema de control. Si, por ejemplo, se necesita una conexión remota con el emplazamiento, cifre las transmisiones de protocolo.
-
Disponibilidad y duplicidad de recursos: posibilidad de interrumpir las conexiones entre distintos segmentos de red o usar dispositivos duplicados en respuesta a un incidente.
-
Gestión de cargas de comunicaciones: el sistema de control ofrece la capacidad de gestionar las cargas de comunicaciones para mitigar los efectos de eventos de desbordamiento de información, como ataques de denegación de servicio (DoS).
-
Copia de seguridad del sistema de control: copias de seguridad disponibles y actualizadas para la recuperación tras un fallo del sistema de control.