Decret 417/2022, del 12-10-2022, pel qual s’aprova el Reglament de l’Esquema nacional de seguretat del Principat d’Andorra.

Els termes següents, utilitzats dins el context de l’ENS-AD, tenen el significat següent:

• a) Actiu d’informació bàsic: actiu d’informació que no cal descompondre més perquè ja és fàcil analitzar el risc a què està exposat, i determinar quines són les seves amenaces i quins conjunts de salvaguardes caldria implementar per conferir-li un determinat nivell de seguretat. Exemples d’actius d’informació bàsics són l’edifici i el cablejat elèctric, quan el que s’analitza és una infraestructura; les LAN i VPN, quan el que s’analitza és una xarxa; els servidors i els seus sistemes operatius, quan el que s’analitza és un sistema d’informació, o la base de dades i l’aplicació web, quan el que s’analitza és una aplicació.

• b) Actiu d’informació estàndard: actiu d’informació bàsic que ha estat analitzat per l’ANC-AD, i per al qual s’han identificat els conjunts de mesures de referència que s’han d’implementar per assolir un determinat nivell de seguretat. L’ANC-AD publica i manté el catàleg d’actius d’informació estàndard.

• c) Classe de seguretat: combinació específica de les tres subclasses de seguretat. El símbol de la classe de seguretat es forma a partir dels símbols de les subclasses en aquest ordre: D-I-C (disponibilitat, integritat i confidencialitat). El nombre de totes les combinacions possibles és 4x4x4, per la qual cosa hi ha 64 classes de seguretat diferents.

• d) Declaració d’aplicabilitat: llista de mesures de referència que apliquen a una entitat, confeccionada segons s’indica en l’article 12.

• e) DSI: delegat de la seguretat de la informació, d’acord amb el que estableix l’article 18 de la Llei NIS-AD

• f) Mesures de referència: mesures de seguretat típiques, catalogades, sobre les quals s’han establert mètodes de selecció d’acord amb el nivell de seguretat que es requereixi.

• g) Mesures de seguretat: actes i mitjans organitzatius, processos tècnics i implantació de mitjans tècnics per a l’obtenció i la conservació de la seguretat de les xarxes i els sistemes d’informació.

• h) Modelar: ajustar a un arquetip format per actius d’informació bàsics.

  • i) Seguretat de la informació: col·lecció de processos per a la creació, la selecció i la implementació de mesures de seguretat.

• j) SGSI: Sistema de gestió de la seguretat de la informació, consistent en un conjunt integral de mesures de gestió que permet garantir la sostenibilitat dels serveis que presta l’entitat i la protecció dels seus actius d’informació.

• k) Subclasse de seguretat: nivell de seguretat associat a una de les tres principals dimensions de la seguretat de la informació (disponibilitat, integritat i confidencialitat), expressat en una escala de quatre nivells (0 a 3).

La resta de termes emprats en aquest Reglament tenen el significat que defineix l’article 3 de la Llei NIS-AD.

Els termes següents, utilitzats dins el context de l’ENS-AD, tenen el significat següent:

• a) Actiu d’informació bàsic: actiu d’informació que no cal descompondre més perquè ja és fàcil analitzar el risc a què està exposat, i determinar quines són les seves amenaces i quins conjunts de salvaguardes caldria implementar per conferir-li un determinat nivell de seguretat. Exemples d’actius d’informació bàsics són l’edifici i el cablejat elèctric, quan el que s’analitza és una infraestructura; les LAN i VPN, quan el que s’analitza és una xarxa; els servidors i els seus sistemes operatius, quan el que s’analitza és un sistema d’informació, o la base de dades i l’aplicació web, quan el que s’analitza és una aplicació.

• b) Actiu d’informació estàndard: actiu d’informació bàsic que ha estat analitzat per l’ANC-AD, i per al qual s’han identificat els conjunts de mesures de referència que s’han d’implementar per assolir un determinat nivell de seguretat. L’ANC-AD publica i manté el catàleg d’actius d’informació estàndard.

• c) Classe de seguretat: combinació específica de les tres subclasses de seguretat. El símbol de la classe de seguretat es forma a partir dels símbols de les subclasses en aquest ordre: D-I-C (disponibilitat, integritat i confidencialitat). El nombre de totes les combinacions possibles és 4x4x4, per la qual cosa hi ha 64 classes de seguretat diferents.

• d) Declaració d’aplicabilitat: llista de mesures de referència que apliquen a una entitat, confeccionada segons s’indica en l’article 12.

• e) DSI: delegat de la seguretat de la informació, d’acord amb el que estableix l’article 18 de la Llei NIS-AD

• f) Mesures de referència: mesures de seguretat típiques, catalogades, sobre les quals s’han establert mètodes de selecció d’acord amb el nivell de seguretat que es requereixi.

• g) Mesures de seguretat: actes i mitjans organitzatius, processos tècnics i implantació de mitjans tècnics per a l’obtenció i la conservació de la seguretat de les xarxes i els sistemes d’informació.

• h) Modelar: ajustar a un arquetip format per actius d’informació bàsics.

  • i) Seguretat de la informació: col·lecció de processos per a la creació, la selecció i la implementació de mesures de seguretat.

• j) SGSI: Sistema de gestió de la seguretat de la informació, consistent en un conjunt integral de mesures de gestió que permet garantir la sostenibilitat dels serveis que presta l’entitat i la protecció dels seus actius d’informació.

• k) Subclasse de seguretat: nivell de seguretat associat a una de les tres principals dimensions de la seguretat de la informació (disponibilitat, integritat i confidencialitat), expressat en una escala de quatre nivells (0 a 3).

La resta de termes emprats en aquest Reglament tenen el significat que defineix l’article 3 de la Llei NIS-AD.