Seguridad de la TI

Este documento proporciona a los operadores ferroviarios, integradores de sistemas y proveedores de productos, orientación y especificaciones sobre cómo se gestionará la ciberseguridad en el contexto del proceso del ciclo de vida de la Norma EN 50126-1 RAMS. Este documento tiene como objetivo la aplicación de un enfoque coherente para la gestión de la seguridad de los sistemas ferroviarios. Este documento también puede aplicarse a la garantía de seguridad de los sistemas y componentes/equipos desarrollados independientemente de la Norma EN 50126-1:2017. Este documento se aplica a los ámbitos de comunicaciones, señalización y procesamiento, material rodante e instalaciones fijas. Proporciona referencias a modelos y conceptos de los que pueden derivarse requisitos y recomendaciones que son adecuados para garantizar que el riesgo residual de las amenazas a la seguridad es identificado, supervisado y gestionado hasta un nivel aceptable por el titular de la obligación del sistema ferroviario. Presenta de forma estructurada los supuestos subyacentes en materia de seguridad. Este documento no aborda los requisitos funcionales de seguridad de los sistemas ferroviarios, sino más bien los requisitos adicionales derivados de las amenazas y vulnerabilidades de seguridad relacionadas y para los que es necesario adoptar y gestionar medidas y actividades específicas a lo largo del ciclo de vida. El objetivo de este documento es garantizar que las características RAMS de los sistemas/subsistemas/equipos ferroviarios no puedan reducirse, perderse o verse comprometidas en caso de ciberataques. Los modelos de seguridad, los conceptos y el proceso de evaluación de riesgos descritos en este documento se basan o derivan de la serie IEC/EN IEC 62443. Este documento es coherente con la aplicación de los requisitos de gestión de la seguridad contenidos en la Norma IEC 62443-2-1, que a su vez se basan en las Normas EN ISO/IEC 27001 y EN ISO 27002.

Este documento proporciona controles de seguridad de la información para el sector de los servicios públicos de energía, basados en la norma ISO/IEC 27002:2022, para controlar y supervisar la producción o generación, transporte, almacenamiento y distribución de energía eléctrica, gas, petróleo y calor, así como para el control de los procesos de apoyo asociados. Esto incluye, en particular, lo siguiente: — tecnología de control, supervisión y automatización de procesos centrales y distribuidos, así como los sistemas de información utilizados para su funcionamiento, tales como dispositivos de programación y parametrización; — controladores digitales y componentes de automatización, como dispositivos de control y de campo o controladores lógicos programables (PLC), incluidos los elementos sensores y actuadores digitales; — todos los demás sistemas de información de apoyo utilizados en el ámbito del control de procesos, por ejemplo, para tareas complementarias de visualización de datos y para fines de control, supervisión, archivo de datos, registro histórico, elaboración de informes y documentación; — tecnología de comunicación utilizada en el ámbito del control de procesos, por ejemplo, redes, telemetría, aplicaciones de telecontrol y tecnología de control remoto; — Componentes de infraestructura de medición avanzada (AMI), por ejemplo, contadores inteligentes; — Dispositivos de medición, por ejemplo, para valores de emisión; — Sistemas digitales de protección y seguridad, por ejemplo, relés de protección, PLC de seguridad, mecanismos de regulación de emergencia; — Sistemas de gestión de la energía, por ejemplo, para recursos energéticos distribuidos (DER), infraestructuras de recarga eléctrica y para hogares particulares, edificios residenciales o instalaciones de clientes industriales. — Componentes distribuidos de entornos de redes inteligentes, por ejemplo, en redes energéticas, hogares particulares, edificios residenciales o instalaciones de clientes industriales. — todo el software, firmware y aplicaciones instalados en los sistemas mencionados anteriormente, por ejemplo, aplicaciones de sistemas de gestión de la distribución (DMS) o sistemas de gestión de interrupciones (OMS); — cualquier local que albergue los equipos y sistemas mencionados anteriormente; — sistemas de mantenimiento remoto para los sistemas mencionados anteriormente. Este documento no se aplica al ámbito del control de procesos de las instalaciones nucleares. Este ámbito está cubierto por la norma IEC 63096.