Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Esquema Nacional de Seguridad en El Ámbito de La Administración Electrónica
Esquema Nacional de Seguridad en El Ámbito de La Administración Electrónica
I.
DISPOSICIONES GENERALES
MINISTERIO DE LA PRESIDENCIA
1330
Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el mbito de la Administracin Electrnica. I La necesaria generalizacin de la sociedad de la informacin es subsidiaria, en gran medida, de la confianza que genere en los ciudadanos la relacin a travs de medios electrnicos. En el mbito de las Administraciones pblicas, la consagracin del derecho a comunicarse con ellas a travs de medios electrnicos comporta una obligacin correlativa de las mismas, que tiene, como premisas, la promocin de las condiciones para que la libertad y la igualdad sean reales y efectivas, y la remocin de los obstculos que impidan o dificulten su plenitud, lo que demanda incorporar las peculiaridades que exigen una aplicacin segura de estas tecnologas. A ello ha venido a dar respuesta el artculo 42.2 de la Ley 11/2007, de 22 de junio, de acceso electrnico de los ciudadanos a los servicios pblicos, mediante la creacin del Esquema Nacional de Seguridad, cuyo objeto es el establecimiento de los principios y requisitos de una poltica de seguridad en la utilizacin de medios electrnicos que permita la adecuada proteccin de la informacin. La finalidad del Esquema Nacional de Seguridad es la creacin de las condiciones necesarias de confianza en el uso de los medios electrnicos, a travs de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrnicos, que permita a los ciudadanos y a las Administraciones pblicas, el ejercicio de derechos y el cumplimiento de deberes a travs de estos medios. El Esquema Nacional de Seguridad persigue fundamentar la confianza en que los sistemas de informacin prestarn sus servicios y custodiarn la informacin de acuerdo con sus especificaciones funcionales, sin interrupciones o modificaciones fuera de control, y sin que la informacin pueda llegar al conocimiento de personas no autorizadas. Se desarrollar y perfeccionar en paralelo a la evolucin de los servicios y a medida que vayan consolidndose los requisitos de los mismos y de las infraestructuras que lo apoyan. Actualmente los sistemas de informacin de las administraciones pblicas estn fuertemente imbricados entre s y con sistemas de informacin del sector privado: empresas y administrados. De esta manera, la seguridad tiene un nuevo reto que va ms all del aseguramiento individual de cada sistema. Es por ello que cada sistema debe tener claro su permetro y los responsables de cada dominio de seguridad deben coordinarse efectivamente para evitar tierras de nadie y fracturas que pudieran daar a la informacin o a los servicios prestados. En este contexto se entiende por seguridad de las redes y de la informacin, la capacidad de las redes o de los sistemas de informacin de resistir, con un determinado nivel de confianza, los accidentes o acciones ilcitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos y de los servicios que dichas redes y sistemas ofrecen o hacen accesibles. II El Esquema Nacional de Seguridad tiene presentes las recomendaciones de la Unin Europea (Decisin 2001/844/CE CECA, Euratom de la Comisin, de 29 de noviembre de 2001, por la que se modifica su Reglamento interno y Decisin 2001/264/CE del Consejo, de 19 de marzo de 2001, por la que se adoptan las normas de seguridad del Consejo), la situacin tecnolgica de las diferentes Administraciones pblicas, as como
cve: BOE-A-2010-1330
cve: BOE-A-2010-1330
cve: BOE-A-2010-1330
cve: BOE-A-2010-1330
En los sistemas de informacin se diferenciar el responsable de la informacin, el responsable del servicio y el responsable de la seguridad. El responsable de la informacin determinar los requisitos de la informacin tratada; el responsable del servicio determinar los requisitos de los servicios prestados; y el responsable de seguridad determinar las decisiones para satisfacer los requisitos de seguridad de la informacin y de los servicios. La responsabilidad de la seguridad de los sistemas de informacin estar diferenciada de la responsabilidad sobre la prestacin de los servicios. La poltica de seguridad de la organizacin detallar las atribuciones de cada responsable y los mecanismos de coordinacin y resolucin de conflictos. CAPTULO III Requisitos mnimos Artculo 11. Requisitos mnimos de seguridad. 1. Todos los rganos superiores de las Administraciones pblicas debern disponer formalmente de su poltica de seguridad, que ser aprobada por el titular del rgano superior correspondiente. Esta poltica de seguridad, se establecer en base a los principios bsicos indicados y se desarrollar aplicando los siguientes requisitos mnimos: a) b) c) d) e) f) g) h) i) j) k) Organizacin e implantacin del proceso de seguridad. Anlisis y gestin de los riesgos. Gestin de personal. Profesionalidad. Autorizacin y control de los accesos. Proteccin de las instalaciones. Adquisicin de productos. Seguridad por defecto. Integridad y actualizacin del sistema. Proteccin de la informacin almacenada y en trnsito. Prevencin ante otros sistemas de informacin interconectados.
cve: BOE-A-2010-1330
La seguridad deber comprometer a todos los miembros de la organizacin. La poltica de seguridad segn se detalla en el anexo II, seccin 3.1, deber identificar unos claros responsables de velar por su cumplimiento y ser conocida por todos los miembros de la organizacin administrativa. Artculo 13. Anlisis y gestin de los riesgos.
1. Cada organizacin que desarrolle e implante sistemas para el tratamiento de la informacin y las comunicaciones realizar su propia gestin de riesgos. 2. Esta gestin se realizar por medio del anlisis y tratamiento de los riesgos a los que est expuesto el sistema. Sin perjuicio de lo dispuesto en el anexo II, se emplear alguna metodologa reconocida internacionalmente. 3. Las medidas adoptadas para mitigar o suprimir los riesgos debern estar justificadas y, en todo caso, existir una proporcionalidad entre ellas y los riesgos. Artculo 14. Gestin de personal.
1. Todo el personal relacionado con la informacin y los sistemas deber ser formado e informado de sus deberes y obligaciones en materia de seguridad. Sus actuaciones deben ser supervisadas para verificar que se siguen los procedimientos establecidos. 2. El personal relacionado con la informacin y los sistemas, ejercitar y aplicar los principios de seguridad en el desempeo de su cometido. 3. El significado y alcance del uso seguro del sistema se concretar y plasmar en unas normas de seguridad. 4. Para corregir, o exigir responsabilidades en su caso, cada usuario que acceda a la informacin del sistema debe estar identificado de forma nica, de modo que se sepa, en todo momento, quin recibe derechos de acceso, de qu tipo son stos, y quin ha realizado determinada actividad. 1. La seguridad de los sistemas estar atendida, revisada y auditada por personal cualificado, dedicado e instruido en todas las fases de su ciclo de vida: instalacin, mantenimiento, gestin de incidencias y desmantelamiento.
cve: BOE-A-2010-1330
Artculo 15.
Profesionalidad.
1. Todo elemento fsico o lgico requerir autorizacin formal previa a su instalacin en el sistema.
cve: BOE-A-2010-1330
1. En la estructura y organizacin de la seguridad del sistema, se prestar especial atencin a la informacin almacenada o en trnsito a travs de entornos inseguros. Tendrn la consideracin de entornos inseguros los equipos porttiles, asistentes personales (PDA), dispositivos perifricos, soportes de informacin y comunicaciones sobre redes abiertas o con cifrado dbil. 2. Forman parte de la seguridad los procedimientos que aseguren la recuperacin y conservacin a largo plazo de los documentos electrnicos producidos por las Administraciones pblicas en el mbito de sus competencias. 3. Toda informacin en soporte no electrnico, que haya sido causa o consecuencia directa de la informacin electrnica a la que se refiere el presente real decreto, deber estar protegida con el mismo grado de seguridad que sta. Para ello se aplicarn las medidas que correspondan a la naturaleza del soporte en que se encuentren, de conformidad con las normas de aplicacin a la seguridad de los mismos. Artculo 22. Prevencin ante otros sistemas de informacin interconectados.
El sistema ha de proteger el permetro, en particular, si se conecta a redes pblicas. Se entender por red pblica de comunicaciones la red de comunicaciones electrnicas que se utiliza, en su totalidad o principalmente, para la prestacin de servicios de comunicaciones electrnicas disponibles para el pblico, de conformidad a la definicin establecida en el apartado 26 del anexo II, de la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones. En todo caso se analizarn los riesgos derivados de la interconexin del sistema, a travs de redes, con otros sistemas, y se controlar su punto de unin. Artculo 23. Registro de actividad.
Con la finalidad exclusiva de lograr el cumplimiento del objeto del presente real decreto, con plenas garantas del derecho al honor, a la intimidad personal y familiar y a la propia imagen de los afectados, y de acuerdo con la normativa sobre proteccin de datos personales, de funcin pblica o laboral, y dems disposiciones que resulten de aplicacin, se registrarn las actividades de los usuarios, reteniendo la informacin necesaria para monitorizar, analizar, investigar y documentar actividades indebidas o no autorizadas, permitiendo identificar en cada momento a la persona que acta. Artculo 24. Incidentes de seguridad.
1. Se establecer un sistema de deteccin y reaccin frente a cdigo daino. 2. Se registrarn los incidentes de seguridad que se produzcan y las acciones de tratamiento que se sigan. Estos registros se emplearn para la mejora continua de la seguridad del sistema. Artculo 25. Continuidad de la actividad.
Artculo 26.
El proceso integral de seguridad implantado deber ser actualizado y mejorado de forma continua. Para ello, se aplicarn los criterios y mtodos reconocidos en la prctica nacional e internacional relativos a gestin de las tecnologas de la informacin.
cve: BOE-A-2010-1330
Los sistemas dispondrn de copias de seguridad y establecern los mecanismos necesarios para garantizar la continuidad de las operaciones, en caso de prdida de los medios habituales de trabajo.
1. Para dar cumplimiento a los requisitos mnimos establecidos en el presente real decreto, las Administraciones pblicas aplicarn las medidas de seguridad indicadas en el Anexo II, teniendo en cuenta: a) Los activos que constituyen el sistema. b) La categora del sistema, segn lo previsto en el artculo 43. c) Las decisiones que se adopten para gestionar los riesgos identificados. 2. Cuando un sistema al que afecte el presente real decreto maneje datos de carcter personal le ser de aplicacin lo dispuesto en la Ley Orgnica 15/1999, de 13 de diciembre, y normativa de desarrollo, sin perjuicio de los requisitos establecidos en el Esquema Nacional de Seguridad. 3. Los medidas a las que se refieren los apartados 1 y 2 tendrn la condicin de mnimos exigibles, y podrn ser ampliados por causa de la concurrencia indicada o del prudente arbitrio del responsable de la informacin, habida cuenta del estado de la tecnologa, la naturaleza de los servicios prestados y la informacin manejada, y los riesgos a que estn expuestos. Artculo 28. Infraestructuras y servicios comunes.
La utilizacin de infraestructuras y servicios comunes reconocidos en las Administraciones Pblicas facilitar el cumplimiento de los principios bsicos y los requisitos mnimos exigidos en el presente real decreto en condiciones de mejor eficiencia. Los supuestos concretos de utilizacin de estas infraestructuras y servicios comunes sern determinados por cada Administracin. Artculo 29. Guas de seguridad.
Para el mejor cumplimiento de lo establecido en el Esquema Nacional de Seguridad, el Centro Criptolgico Nacional, en el ejercicio de sus competencias, elaborar y difundir las correspondientes guas de seguridad de las tecnologas de la informacin y las comunicaciones. Artculo 30. Sistemas de informacin no afectados.
Las Administraciones pblicas podrn determinar aquellos sistemas de informacin a los que no les sea de aplicacin lo dispuesto en el presente de real decreto por tratarse de sistemas no relacionados con el ejercicio de derechos ni con el cumplimiento de deberes por medios electrnicos ni con el acceso por medios electrnicos de los ciudadanos a la informacin y al procedimiento administrativo, de acuerdo con lo previsto en la Ley 11/2007, de 22 de junio. CAPTULO IV Comunicaciones electrnicas Artculo 31. Condiciones tcnicas de seguridad de las comunicaciones electrnicas.
cve: BOE-A-2010-1330
1. Las condiciones tcnicas de seguridad de las comunicaciones electrnicas en lo relativo a la constancia de la transmisin y recepcin, de sus fechas, del contenido integro de las comunicaciones y la identificacin fidedigna del remitente y destinatario de las mismas, segn lo establecido en la Ley 11/2007, de 22 de junio, sern implementadas de acuerdo con lo establecido en el Esquema Nacional de Seguridad. 2. Las comunicaciones realizadas en los trminos indicados en el apartado anterior, tendrn el valor y la eficacia jurdica que corresponda a su respectiva naturaleza, de conformidad con la legislacin que resulte de aplicacin.
1. Las notificaciones y publicaciones electrnicas de resoluciones y actos administrativos se realizarn de forma que cumplan, de acuerdo con lo establecido en el presente real decreto, las siguientes exigencias tcnicas: a) Aseguren la autenticidad del organismo que lo publique. b) Aseguren la integridad de la informacin publicada. c) Dejen constancia de la fecha y hora de la puesta a disposicin del interesado de la resolucin o acto objeto de publicacin o notificacin, as como del acceso a su contenido. d) Aseguren la autenticidad del destinatario de la publicacin o notificacin. Artculo 33. Firma electrnica.
1. Los mecanismos de firma electrnica se aplicarn en los trminos indicados en el Anexo II de esta norma y de acuerdo con lo preceptuado en la poltica de firma electrnica y de certificados, segn se establece en el Esquema Nacional de Interoperabilidad. 2. La poltica de firma electrnica y de certificados concretar los procesos de generacin, validacin y conservacin de firmas electrnicas, as como las caractersticas y requisitos exigibles a los sistemas de firma electrnica, los certificados, los servicios de sellado de tiempo, y otros elementos de soporte de las firmas, sin perjuicio de lo previsto en el Anexo II, que deber adaptarse a cada circunstancia. CAPTULO V Auditora de la seguridad Artculo 34. Auditora de la seguridad.
cve: BOE-A-2010-1330
1. Los sistemas de informacin a los que se refiere el presente real decreto sern objeto de una auditora regular ordinaria, al menos cada dos aos, que verifique el cumplimiento de los requerimientos del presente Esquema Nacional de Seguridad. Con carcter extraordinario, deber realizarse dicha auditora siempre que se produzcan modificaciones sustanciales en el sistema de informacin, que puedan repercutir en las medidas de seguridad requeridas. La realizacin de la auditoria extraordinaria determinar la fecha de cmputo para el clculo de los dos aos, establecidos para la realizacin de la siguiente auditora regular ordinaria, indicados en el prrafo anterior. 2. Esta auditora se realizar en funcin de la categora del sistema, determinada segn lo dispuesto en el anexo I y de acuerdo con lo previsto en el anexo III. 3. En el marco de lo dispuesto en el artculo 39, de la ley 11/2007, de 22 de junio, la auditora profundizar en los detalles del sistema hasta el nivel que considere que proporciona evidencia suficiente y relevante, dentro del alcance establecido para la auditora. 4. En la realizacin de esta auditora se utilizarn los criterios, mtodos de trabajo y de conducta generalmente reconocidos, as como la normalizacin nacional e internacional aplicables a este tipo de auditoras de sistemas de informacin. 5. El informe de auditora deber dictaminar sobre el grado de cumplimiento del presente real decreto, identificar sus deficiencias y sugerir las posibles medidas correctoras o complementarias necesarias, as como las recomendaciones que se consideren oportunas. Deber, igualmente, incluir los criterios metodolgicos de auditora utilizados, el alcance y el objetivo de la auditora, y los datos, hechos y observaciones en que se basen las conclusiones formuladas. 6. Los informes de auditora sern presentados al responsable del sistema y al responsable de seguridad competentes. Estos informes sern analizados por este ltimo que presentar sus conclusiones al responsable del sistema para que adopte las medidas correctoras adecuadas.
El Comit Sectorial de Administracin Electrnica articular los procedimientos necesarios para conocer regularmente el estado de las principales variables de la seguridad en los sistemas de informacin a los que se refiere el presente real decreto, de forma que permita elaborar un perfil general del estado de la seguridad en las Administraciones pblicas. CAPTULO VII Respuesta a incidentes de seguridad Artculo 36. Capacidad de respuesta a incidentes de seguridad de la informacin.
El Centro Criptolgico Nacional (CCN) articular la respuesta a los incidentes de seguridad en torno a la estructura denominada CCN-CERT (Centro Criptolgico NacionalComputer Emergency Reaction Team), que actuar sin perjuicio de las capacidades de respuesta a incidentes de seguridad que pueda tener cada administracin pblica y de la funcin de coordinacin a nivel nacional e internacional del CCN. Artculo 37. Prestacin de servicios de respuesta a incidentes de seguridad a las Administraciones pblicas. 1. De acuerdo con lo previsto en el artculo 36, el CCN-CERT prestar a las Administraciones pblicas los siguientes servicios: a) Soporte y coordinacin para el tratamiento de vulnerabilidades y la resolucin de incidentes de seguridad que tengan la Administracin General del Estado, las Administraciones de las comunidades autnomas, las entidades que integran la Administracin Local y las Entidades de Derecho pblico con personalidad jurdica propia vinculadas o dependientes de cualquiera de las administraciones indicadas. El CCN-CERT, a travs de su servicio de apoyo tcnico y de coordinacin, actuar con la mxima celeridad ante cualquier agresin recibida en los sistemas de informacin de las Administraciones pblicas. Para el cumplimiento de los fines indicados en los prrafos anteriores se podrn recabar los informes de auditora de los sistemas afectados. b) Investigacin y divulgacin de las mejores prcticas sobre seguridad de la informacin entre todos los miembros de las Administraciones pblicas. Con esta finalidad, las series de documentos CCN-STIC (Centro Criptolgico Nacional-Seguridad de las Tecnologas de Informacin y Comunicaciones), elaboradas por el Centro Criptolgico Nacional, ofrecern normas, instrucciones, guas y recomendaciones para aplicar el Esquema Nacional de Seguridad y para garantizar la seguridad de los sistemas de tecnologas de la informacin en la Administracin. c) Formacin destinada al personal de la Administracin especialista en el campo de la seguridad de las tecnologas de la informacin, al objeto de facilitar la actualizacin de
cve: BOE-A-2010-1330
La seguridad de las sedes y registros electrnicos, as como la del acceso electrnico de los ciudadanos a los servicios pblicos, se regirn por lo establecido en el Esquema Nacional de Seguridad. Artculo 39. Ciclo de vida de servicios y sistemas.
Las especificaciones de seguridad se incluirn en el ciclo de vida de los servicios y sistemas, acompaadas de los correspondientes procedimientos de control. Artculo 40. Mecanismos de control.
Cada rgano de la Administracin pblica o Entidad de Derecho Pblico establecer sus mecanismos de control para garantizar de forma real y efectiva el cumplimiento del Esquema Nacional de Seguridad. Artculo 41. Publicacin de conformidad.
Los rganos y Entidades de Derecho Pblico darn publicidad en las correspondientes sedes electrnicas a las declaraciones de conformidad, y a los distintivos de seguridad de los que sean acreedores, obtenidos respecto al cumplimiento del Esquema Nacional de Seguridad. CAPTULO IX Actualizacin Artculo 42. Actualizacin permanente.
El Esquema Nacional de Seguridad se deber mantener actualizado de manera permanente. Se desarrollar y perfeccionar a lo largo del tiempo, en paralelo al progreso de los servicios de Administracin electrnica, de la evolucin tecnolgica y nuevos estndares internacionales sobre seguridad y auditora en los sistemas y tecnologas de la informacin y a medida que vayan consolidndose las infraestructuras que le apoyan.
cve: BOE-A-2010-1330
1. La categora de un sistema de informacin, en materia de seguridad, modular el equilibrio entre la importancia de la informacin que maneja, los servicios que presta y el esfuerzo de seguridad requerido, en funcin de los riesgos a los que est expuesto, bajo el criterio del principio de proporcionalidad. 2. La determinacin de la categora indicada en el apartado anterior se efectuar en funcin de la valoracin del impacto que tendra un incidente que afectara a la seguridad de la informacin o de los servicios con perjuicio para la disponibilidad, autenticidad, integridad, confidencialidad o trazabilidad, como dimensiones de seguridad, siguiendo el procedimiento establecido en el Anexo I. 3. La valoracin de las consecuencias de un impacto negativo sobre la seguridad de la informacin y de los servicios se efectuar atendiendo a su repercusin en la capacidad de la organizacin para el logro de sus objetivos, la proteccin de sus activos, el cumplimiento de sus obligaciones de servicio, el respeto de la legalidad y los derechos de los ciudadanos. Artculo 44. Facultades.
1. La facultad para efectuar las valoraciones a las que se refiere el artculo 43, as como la modificacin posterior, en su caso, corresponder, dentro del mbito de su actividad, al responsable de cada informacin o servicio. 2. La facultad para determinar la categora del sistema corresponder al responsable del mismo. Disposicin adicional primera. Formacin.
El personal de las Administraciones pblicas recibir, de acuerdo con lo previsto en la disposicin adicional segunda de la Ley 11/2007, de 22 de junio, la formacin necesaria para garantizar el conocimiento del presente Esquema Nacional de Seguridad, a cuyo fin los rganos responsables dispondrn lo necesario para que la formacin sea una realidad efectiva. Disposicin adicional segunda. Instituto Nacional de Tecnologas de la Comunicacin (INTECO) y organismos anlogos. El Instituto Nacional de Tecnologas de la Comunicacin (INTECO), como centro de excelencia promovido por el Ministerio de Industria, Turismo y Comercio para el desarrollo de la sociedad del conocimiento, podr desarrollar proyectos de innovacin y programas de investigacin dirigidos a la mejor implantacin de las medidas de seguridad contempladas en el presente real decreto. Asimismo, las Administraciones pblicas podrn disponer de entidades anlogas para llevar a cabo dichas actividades u otras adicionales en el mbito de sus competencias. Disposicin adicional tercera. Comit de Seguridad de la Informacin de las Administraciones Pblicas. El Comit de Seguridad de la Informacin de las Administraciones Pblicas, dependiente del Comit Sectorial de Administracin electrnica, contar con un representante de cada una de las entidades presentes en dicho Comit Sectorial. Tendr funciones de cooperacin en materias comunes relacionadas con la adecuacin e implantacin de lo previsto en el Esquema Nacional de Seguridad y en las normas, instrucciones, guas y recomendaciones dictadas para su aplicacin.
cve: BOE-A-2010-1330
1. Los sistemas existentes a la entrada en vigor del presente real decreto se adecuarn al Esquema Nacional de Seguridad de forma que permitan el cumplimiento de lo establecido en la disposicin final tercera de la Ley 11/2007, de 22 de junio. Los nuevos sistemas aplicarn lo establecido en el presente real decreto desde su concepcin. 2. Si a los doce meses de la entrada en vigor del Esquema Nacional de Seguridad hubiera circunstancias que impidan la plena aplicacin de lo exigido en el mismo, se dispondr de un plan de adecuacin que marque los plazos de ejecucin los cuales, en ningn caso, sern superiores a 48 meses desde la entrada en vigor. El plan indicado en el prrafo anterior ser elaborado con la antelacin suficiente y aprobado por los rganos superiores competentes. 3. Mientras no se haya aprobado una poltica de seguridad por el rgano superior competente sern de aplicacin las polticas de seguridad que puedan existir a nivel de rgano directivo. Disposicin derogatoria nica. Quedan derogadas las disposiciones de igual o inferior rango que se opongan a lo dispuesto en el presente reglamento. Disposicin final primera. Ttulo habilitante.
El presente real decreto se dicta en virtud de lo establecido en el artculo 149.1.18. de la Constitucin, que atribuye al Estado la competencia sobre las bases del rgimen jurdico de las Administraciones pblicas. Disposicin final segunda. Desarrollo normativo.
Se autoriza al titular del Ministerio de la Presidencia, para dictar las disposiciones necesarias para la aplicacin y desarrollo de lo establecido en el presente real decreto, sin perjuicio de las competencias de las comunidades autnomas de desarrollo y ejecucin de la legislacin bsica del Estado. Disposicin final tercera. Entrada en vigor.
El presente real decreto entrar en vigor el da siguiente al de su publicacin en el Boletn Oficial del Estado. Dado en Madrid, el 8 de enero de 2010.
cve: BOE-A-2010-1330
JUAN CARLOS R.
La Vicepresidenta Primera del Gobierno y Ministra de la Presidencia, MARA TERESA FERNNDEZ DE LA VEGA SANZ
La determinacin de la categora de un sistema se basa en la valoracin del impacto que tendra sobre la organizacin un incidente que afectara a la seguridad de la informacin o de los sistemas, con repercusin en la capacidad organizativa para: a) Alcanzar sus objetivos. b) Proteger los activos a su cargo. c) Cumplir sus obligaciones diarias de servicio. d) Respetar la legalidad vigente. e) Respetar los derechos de las personas. La determinacin de la categora de un sistema se realizar de acuerdo con lo establecido en el presente real decreto, y ser de aplicacin a todos los sistemas empleados para la prestacin de los servicios de la Administracin electrnica y soporte del procedimiento administrativo general. 2. Dimensiones de la seguridad.
A fin de poder determinar el impacto que tendra sobre la organizacin un incidente que afectara a la seguridad de la informacin o de los sistemas, y de poder establecer la categora del sistema, se tendrn en cuenta las siguientes dimensiones de la seguridad, que sern identificadas por sus correspondientes iniciales en maysculas: a) Disponibilidad [D]. b) Autenticidad [A]. c) Integridad [I]. d) Confidencialidad [C]. e) Trazabilidad [T]. 3. Determinacin del nivel requerido en una dimensin de seguridad.
Una informacin o un servicio pueden verse afectados en una o ms de sus dimensiones de seguridad. Cada dimensin de seguridad afectada se adscribir a uno de los siguientes niveles: BAJO, MEDIO o ALTO. Si una dimensin de seguridad no se ve afectada, no se adscribir a ningn nivel. a) Nivel BAJO. Se utilizar cuando las consecuencias de un incidente de seguridad que afecte a alguna de las dimensiones de seguridad supongan un perjuicio limitado sobre las funciones de la organizacin, sobre sus activos o sobre los individuos afectados. Se entender por perjuicio limitado: 1. La reduccin de forma apreciable de la capacidad de la organizacin para atender eficazmente con sus obligaciones corrientes, aunque estas sigan desempendose. 2. El sufrimiento de un dao menor por los activos de la organizacin. 3. El incumplimiento formal de alguna ley o regulacin, que tenga carcter de subsanable. 4. Causar un perjuicio menor a algn individuo, que an siendo molesto pueda ser fcilmente reparable. 5. Otros de naturaleza anloga.
cve: BOE-A-2010-1330
a) Un sistema de informacin ser de categora ALTA si alguna de sus dimensiones de seguridad alcanza el nivel ALTO. b) Un sistema de informacin ser de categora MEDIA si alguna de sus dimensiones de seguridad alcanza el nivel MEDIO, y ninguna alcanza un nivel superior. c) Un sistema de informacin ser de categora BSICA si alguna de sus dimensiones de seguridad alcanza el nivel BAJO, y ninguna alcanza un nivel superior. 2. La determinacin de la categora de un sistema sobre la base de lo indicado en el apartado anterior no implicar que se altere, por este hecho, el nivel de las dimensiones de seguridad que no han influido en la determinacin de la categora del mismo. 5. Secuencia de actuaciones para determinar la categora de un sistema:
1. Identificacin del nivel correspondiente a cada informacin y servicio, en funcin de las dimensiones de seguridad, teniendo en cuenta lo establecido en el apartado 3. 2. Determinacin de la categora del sistema, segn lo establecido en el apartado 4.
cve: BOE-A-2010-1330
a) Marco organizativo [org]. Constituido por el conjunto de medidas relacionadas con la organizacin global de la seguridad. b) Marco operacional [op]. Formado por las medidas a tomar para proteger la operacin del sistema como conjunto integral de componentes para un fin. c) Medidas de proteccin [mp]. Se centran en proteger activos concretos, segn su naturaleza y la calidad exigida por el nivel de seguridad de las dimensiones afectadas. 2. Seleccin de medidas de seguridad 1. a) Para la seleccin de las medidas de seguridad se seguirn los pasos siguientes: Identificacin de los tipos de activos presentes.
b) Determinacin de las dimensiones de seguridad relevantes, teniendo en cuenta lo establecido en el anexo I. c) Determinacin del nivel correspondiente a cada dimensin de seguridad, teniendo en cuenta lo establecido en el anexo I. d) Determinacin de la categora del sistema, segn lo establecido en el Anexo I. e) Seleccin de las medidas de seguridad apropiadas de entre las contenidas en este Anexo, de acuerdo con las dimensiones de seguridad y sus niveles, y, para determinadas medidas de seguridad, de acuerdo con la categora del sistema. 2. A los efectos de facilitar el cumplimiento de lo dispuesto en este anexo, cuando en un sistema de informacin existan sistemas que requieran la aplicacin de un nivel de medidas de seguridad diferente al del sistema principal, podrn segregarse de este ltimo, siendo de aplicacin en cada caso el nivel de medidas de seguridad correspondiente y siempre que puedan delimitarse la informacin y los servicios afectados. 3. La relacin de medidas seleccionadas se formalizar en un documento denominado Declaracin de Aplicabilidad, firmado por el responsable de la seguridad del sistema. 4. La correspondencia entre los niveles de seguridad exigidos en cada dimensin y las medidas de seguridad, es la que se indica en la tabla siguiente:
Dimensiones Afectadas B M A MEDIDAS DE SEGURIDAD
categora categora
n.a. aplica
+ =
++ =
cve: BOE-A-2010-1330
= = = =
= = = =
Marco organizativo Poltica de seguridad Normativa de seguridad Procedimientos de seguridad Proceso de autorizacin
aplica aplica aplica aplica aplica n.a. aplica n.a. n.a. aplica aplica aplica n.a. aplica
= = = = = = = aplica = = = = aplica =
cve: BOE-A-2010-1330
En las tablas del presente Anexo se emplean las siguientes convenciones: a) Para indicar que una determinada medida de seguridad se debe aplicar a una o varias dimensiones de seguridad en algn nivel determinado se utiliza la voz aplica. b) n.a. significa no aplica. c) Para indicar que las exigencias de un nivel son iguales a los del nivel inferior se utiliza el signo =. d) Para indicar el incremento de exigencias graduado en funcin de del nivel de la dimensin de seguridad, se utilizan los signos + y ++. e) Para indicar que una medida protege especficamente una cierta dimensin de seguridad, sta se explicita mediante su inicial. 3. Marco organizativo [org] El marco organizativo est constituido por un conjunto de medidas relacionadas con la organizacin global de la seguridad.
cve: BOE-A-2010-1330
3.1
dimensiones categora
dimensiones categora
Se dispondr de una serie de documentos que describan: a) El uso correcto de equipos, servicios e instalaciones. b) Lo que se considerar uso indebido. c) La responsabilidad del personal con respecto al cumplimiento o violacin de estas normas: derechos, deberes y medidas disciplinarias de acuerdo con la legislacin vigente. 3.3 Procedimientos de seguridad [org.3].
Todas bsica aplica media = alta =
dimensiones categora
Se dispondr de una serie de documentos que detallen de forma clara y precisa: a) Cmo llevar a cabo las tareas habituales. b) Quin debe hacer cada tarea. c) Cmo identificar y reportar comportamientos anmalos. 3.4 Proceso de autorizacin [org.4].
Todas bsica aplica media = alta =
cve: BOE-A-2010-1330
dimensiones categora
Se establecer un proceso formal de autorizaciones que cubra todos los elementos del sistema de informacin: a) Utilizacin de instalaciones, habituales y alternativas. b) Entrada de equipos en produccin, en particular, equipos que involucren criptografa.
Categora BSICA Bastar un anlisis informal, realizado en lenguaje natural. Es decir, una exposicin textual que describa los siguientes aspectos: a) Identifique los activos ms valiosos del sistema. b) Identifique las amenazas ms probables. c) Identifique las salvaguardas que protegen de dichas amenazas. d) Identifique los principales riesgos residuales. Categora MEDIA Se deber realizar un anlisis semi-formal, usando un lenguaje especfico, con un catlogo bsico de amenazas y una semntica definida. Es decir, una presentacin con tablas que describa los siguientes aspectos: a) Identifique y valore cualitativamente los activos ms valiosos del sistema. b) Identifique y cuantifique las amenazas ms probables. c) Identifique y valore las salvaguardas que protegen de dichas amenazas. d) Identifique y valore el riesgo residual. Categora ALTA Se deber realizar un anlisis formal, usando un lenguaje especfico, con un fundamento matemtico reconocido internacionalmente. El anlisis deber cubrir los siguientes aspectos: a) b) c) d) e) Identifique y valore cualitativamente los activos ms valiosos del sistema. Identifique y cuantifique las amenazas posibles. Identifique las vulnerabilidades habilitantes de dichas amenazas. Identifique y valore las salvaguardas adecuadas. Identifique y valore el riesgo residual.
cve: BOE-A-2010-1330
1. Puntos de interconexin a otros sistemas o a otras redes, en especial si se trata de Internet. 2. Cortafuegos, DMZ, etc. 3. Utilizacin de tecnologas diferentes para prevenir vulnerabilidades que pudieran perforar simultneamente varias lneas de defensa. d) Sistema de identificacin y autenticacin de usuarios:
1. Uso de claves concertadas, contraseas, tarjetas de identificacin, biometra, u otras de naturaleza anloga. 2. Uso de ficheros o directorios para autenticar al usuario y determinar sus derechos de acceso. e) 1. f) Controles tcnicos internos: Validacin de datos de entrada, salida y datos intermedios. Sistema de gestin con actualizacin y aprobacin peridica.
Se establecer un proceso formal para planificar la adquisicin de nuevos componentes del sistema, proceso que: a) Atender a las conclusiones del anlisis de riesgos: [op.pl.1]. b) Ser acorde a la arquitectura de seguridad escogida: [op.pl.2]. c) Contemplar las necesidades tcnicas, de formacin y de financiacin de forma conjunta. 4.1.4 Dimensionamiento / gestin de capacidades [op.pl.4].
D bajo no aplica medio aplica alto =
cve: BOE-A-2010-1330
dimensiones nivel
Con carcter previo a la puesta en explotacin, se realizar un estudio previo que cubrir los siguientes aspectos:
dimensiones categora
Se utilizarn preferentemente sistemas, productos o equipos cuyas funcionalidades de seguridad y su nivel hayan sido evaluados conforme a normas europeas o internacionales y que estn certificados por entidades independientes de reconocida solvencia. Tendrn la consideracin de normas europeas o internacionales, ISO/IEC 15408 u otras de naturaleza y calidad anlogas. Tendrn la consideracin de entidades independientes de reconocida solvencia las recogidas en los acuerdos o arreglos internacionales de reconocimiento mutuo de los certificados de la seguridad de la tecnologa de la informacin u otras de naturaleza anloga. 4.2 Control de acceso. [op.acc]. El control de acceso cubre el conjunto de actividades preparatorias y ejecutivas para que una determinada entidad, usuario o proceso, pueda, o no, acceder a un recurso del sistema para realizar una determinada accin. El control de acceso que se implante en un sistema real ser un punto de equilibrio entre la comodidad de uso y la proteccin de la informacin. En sistemas de nivel Bajo, se primar la comodidad, mientras que en sistemas de nivel Alto se primar la proteccin. En todo control de acceso se requerir lo siguiente: a) Que todo acceso est prohibido, salvo concesin expresa. b) Que la entidad quede identificada singularmente [op.acc.1]. c) Que la utilizacin de los recursos est protegida [op.acc.2]. d) Que se definan para cada entidad los siguientes parmetros: a qu se necesita acceder, con qu derechos y bajo qu autorizacin [op.acc.4]. e) Sern diferentes las personas que autorizan, usan y controlan el uso [op.acc.3]. f) Que la identidad de la entidad quede suficientemente autenticada [mp.acc.5]. g) Que se controle tanto el acceso local ([op.acc.6]) como el acceso remoto ([op.acc.7]). Con el cumplimiento de todas las medidas indicadas se garantizar que nadie acceder a recursos sin autorizacin. Adems, quedar registrado el uso del sistema ([op.exp.8]) para poder detectar y reaccionar a cualquier fallo accidental o deliberado. Cuando se interconecten sistemas en los que la identificacin, autenticacin y autorizacin tengan lugar en diferentes dominios de seguridad, bajo distintas responsabilidades, en los casos en que sea necesario, las medidas de seguridad locales se acompaarn de los correspondientes acuerdos de colaboracin que delimiten mecanismos y procedimientos para la atribucin y ejercicio efectivos de las responsabilidades de cada sistema ([op.ext]).
cve: BOE-A-2010-1330
4.2.1
Identificacin [op.acc.1].
AT bajo aplica medio = alto =
dimensiones nivel
1. Cada cuenta estar asociada a un identificador nico. 2. Las cuentas deben ser inhabilitadas en los siguientes casos: cuando el usuario deja la organizacin; cuando el usuario cesa en la funcin para la cual se requera la cuenta de usuario; o, cuando la persona que la autoriz, da orden en sentido contrario. 3. Las cuentas se retendrn durante el periodo necesario para atender a las necesidades de trazabilidad de los registros de actividad asociados a las mismas. A este periodo se le denominar periodo de retencin. 4.2.2 Requisitos de acceso [op.acc.2].
I CAT bajo aplica medio = alto =
dimensiones nivel
Los requisitos de acceso se atendern a lo que a continuacin se indica: a) Los recursos del sistema se protegern con algn mecanismo que impida su utilizacin, salvo a las entidades que disfruten de derechos de acceso suficientes. b) Los derechos de acceso de cada recurso, se establecern segn las decisiones de la persona responsable del recurso, atenindose a la poltica y normativa de seguridad del sistema. c) Particularmente se controlar el acceso a los componentes del sistema y a sus ficheros o registros de configuracin. 4.2.3 Segregacin de funciones y tareas [op.acc.3].
I CAT bajo no aplica medio aplica alto =
dimensiones nivel
El sistema de control de acceso se organizar de forma que se exija la concurrencia de dos o ms personas para realizar tareas crticas, anulando la posibilidad de que un solo individuo autorizado, pueda abusar de sus derechos para cometer alguna accin ilcita. En concreto, se separarn al menos las siguientes funciones: a) Desarrollo de operacin. b) Configuracin y mantenimiento del sistema de operacin. c) Auditora o supervisin de cualquier otra funcin.
cve: BOE-A-2010-1330
4.2.4
dimensiones nivel
dimensiones nivel
Los mecanismos de autenticacin frente al sistema se adecuarn al nivel del sistema atendiendo a las consideraciones que siguen. Las guas CCN-STIC desarrollarn los mecanismos concretos adecuados a cada nivel. Nivel BAJO a) Se admitir el uso de cualquier mecanismo de autenticacin: claves concertadas, o dispositivos fsicos (en expresin inglesa tokens) o componentes lgicos tales como certificados software u otros equivalentes o mecanismos biomtricos. b) En el caso de usar contraseas se aplicarn reglas bsicas de calidad de las mismas. c) Se atender a la seguridad de los autenticadores de forma que: 1. Los autenticadores se activarn una vez estn bajo el control efectivo del usuario. 2. Los autenticadores estarn bajo el control exclusivo del usuario. 3. El usuario reconocer que los ha recibido y que conoce y acepta las obligaciones que implica su tenencia, en particular el deber de custodia diligente, proteccin de su confidencialidad e informacin inmediata en caso de prdida. 4. Los autenticadores se cambiarn con una periodicidad marcada por la poltica de la organizacin, atendiendo a la categora del sistema al que se accede. 5. Los autenticadores se retirarn y sern deshabilitados cuando la entidad (persona, equipo o proceso) que autentican termina su relacin con el sistema. Nivel MEDIO a) No se recomendar el uso de claves concertadas. b) Se recomendar el uso de otro tipo de mecanismos del tipo dispositivos fsicos (tokens) o componentes lgicos tales como certificados software u otros equivalentes o biomtricos. c) En el caso de usar contraseas se aplicarn polticas rigurosas de calidad de la contrasea y renovacin frecuente. Nivel ALTO a) b) Los autenticadores se suspendern tras un periodo definido de no utilizacin. No se admitir el uso de claves concertadas.
cve: BOE-A-2010-1330
s si s
Con cautela s s
Se considera acceso local al realizado desde puestos de trabajo dentro de las propias instalaciones de la organizacin. Estos accesos tendrn en cuenta el nivel de las dimensiones de seguridad: Nivel BAJO a) Se prevendrn ataques que puedan revelar informacin del sistema sin llegar a acceder al mismo. La informacin revelada a quien intenta acceder, debe ser la mnima imprescindible (los dilogos de acceso proporcionarn solamente la informacin indispensable). b) El nmero de intentos permitidos ser limitado, bloqueando la oportunidad de acceso una vez efectuados un cierto nmero de fallos consecutivos. c) Se registrarn los accesos con xito, y los fallidos. d) El sistema informar al usuario de sus obligaciones inmediatamente despus de obtener el acceso. Nivel MEDIO Se informar al usuario del ltimo acceso efectuado con su identidad. Nivel ALTO a) El acceso estar limitado por horario, fechas y lugar desde donde se accede. b) Se definirn aquellos puntos en los que el sistema requerir una renovacin de la autenticacin del usuario, mediante identificacin singular, no bastando con la sesin establecida. 4.2.7 Acceso remoto [op.acc.7].
cve: BOE-A-2010-1330
dimensiones nivel
dimensiones categora
Se mantendr un inventario actualizado de todos los elementos del sistema, detallando su naturaleza e identificando a su propietario; es decir, la persona que es responsable de las decisiones relativas al mismo. 4.3.2 Configuracin de seguridad [op.exp.2].
Todas bsica aplica media = alta =
dimensiones categora
Se configurarn los equipos previamente a su entrada en operacin, de forma que: a) b) Se retiren cuentas y contraseas estndar. Se aplicar la regla de mnima funcionalidad:
1. El sistema debe proporcionar la funcionalidad requerida para que la organizacin alcance sus objetivos y ninguna otra funcionalidad, 2. No proporcionar funciones gratuitas, ni de operacin, ni de administracin, ni de auditora, reduciendo de esta forma su permetro al mnimo imprescindible. 3. Se eliminar o desactivar mediante el control de la configuracin, aquellas funciones que no sean de inters, no sean necesarias, e incluso, aquellas que sean inadecuadas al fin que se persigue. c) Se aplicar la regla de seguridad por defecto:
1. Las medidas de seguridad sern respetuosas con el usuario y protegern a ste, salvo que se exponga conscientemente a un riesgo. 2. Para reducir la seguridad, el usuario tiene que realizar acciones conscientes. 3. El uso natural, en los casos que el usuario no ha consultado el manual, ser un uso seguro.
cve: BOE-A-2010-1330
4.3.3
dimensiones categora
dimensiones categora
Para mantener el equipamiento fsico y lgico que constituye el sistema, se aplicar lo siguiente: a) Se atender a las especificaciones de los fabricantes en lo relativo a instalacin y mantenimiento de los sistemas. b) Se efectuar un seguimiento continuo de los anuncios de defectos. c) Se dispondr de un procedimiento para analizar, priorizar y determinar cundo aplicar las actualizaciones de seguridad, parches, mejoras y nuevas versiones. La priorizacin tendr en cuenta la variacin del riesgo en funcin de la aplicacin o no de la actualizacin. 4.3.5 Gestin de cambios [op.exp.5].
todas bsica no aplica media aplica alta =
dimensiones categora
Se mantendr un control continuo de cambios realizados en el sistema, de forma que: a) Todos los cambios anunciados por el fabricante o proveedor sern analizados para determinar su conveniencia para ser incorporados, o no. b) Antes de poner en produccin una nueva versin o una versin parcheada, se comprobar en un equipo que no est en produccin, que la nueva instalacin funciona correctamente y no disminuye la eficacia de las funciones necesarias para el trabajo diario. El equipo de pruebas ser equivalente al de produccin en los aspectos que se comprueban. c) Los cambios se planificarn para reducir el impacto sobre la prestacin de los servicios afectados. d) Mediante anlisis de riesgos se determinar si los cambios son relevantes para la seguridad del sistema. Aquellos cambios que impliquen una situacin de riesgo de nivel alto sern aprobados explcitamente de forma previa a su implantacin.
cve: BOE-A-2010-1330
4.3.6
dimensiones categora
dimensiones categora
Se dispondr de un proceso integral para hacer frente a los incidentes que puedan tener un impacto en la seguridad del sistema, incluyendo: a) Procedimiento de reporte de incidentes reales o sospechosos, detallando el escalado de la notificacin. b) Procedimiento de toma de medidas urgentes, incluyendo la detencin de servicios, el aislamiento del sistema afectado, la recogida de evidencias y proteccin de los registros, segn convenga al caso. c) Procedimiento de asignacin de recursos para investigar las causas, analizar las consecuencias y resolver el incidente. d) Procedimientos para informar a las partes interesadas, internas y externas. e) Procedimientos para: 1. Prevenir que se repita el incidente. 2. Incluir en los procedimientos de usuario la identificacin y forma de tratar el incidente. 3. Actualizar, extender, mejorar u optimizar los procedimientos de resolucin de incidencias. La gestin de incidentes que afecten a datos de carcter personal tendr en cuenta lo dispuesto en el Real Decreto 1720 de 2007, en lo que corresponda. 4.3.8 Registro de la actividad de los usuarios [op.exp.8].
T bajo no aplica medio no aplica alto aplica
dimensiones nivel
Se registrarn todas las actividades de los usuarios en el sistema, de forma que: a) El registro indicar quin realiza la actividad, cuando la realiza y sobre qu informacin. b) Se incluir la actividad de los usuarios y, especialmente, la de los operadores y administradores del sistema en cuanto pueden acceder a la configuracin y actuar en el mantenimiento del mismo. c) Deben registrarse las actividades realizadas con xito y los intentos fracasados. d) La determinacin de qu actividades debe en registrarse y con qu niveles de detalle se determinar a la vista del anlisis de riesgos realizado sobre el sistema ([op.pl.1]).
cve: BOE-A-2010-1330
4.3.9
dimensiones categora
dimensiones nivel
Se protegern los registros del sistema, de forma que: a) Se determinar el periodo de retencin de los registros. b) Se asegurar la fecha y hora. Ver [mp.info.5]. c) Los registros no podrn ser modificados ni eliminados por personal no autorizado. d) Las copias de seguridad, si existen, se ajustarn a los mismos requisitos. 4.3.11 Proteccin de claves criptogrficas [op.exp.11].
todas bsica aplica media = alta +
dimensiones categora
Las claves criptogrficas se protegern durante todo su ciclo de vida: (1) generacin, (2) transporte al punto de explotacin, (3) custodia durante la explotacin, (4) archivo posterior a su retirada de explotacin activa y (5) destruccin final. Categora BSICA a) Los medios de generacin estarn aislados de los medios de explotacin. b) Las claves retiradas de operacin que deban ser archivadas, lo sern en medios aislados de los de explotacin. Categora MEDIA a) b) 4.4 Se usarn programas evaluados o dispositivos criptogrficos certificados. Se emplearn algoritmos acreditados por el Centro Criptolgico Nacional. Servicios externos [op.ext].
Cuando se utilicen recursos externos a la organizacin, sean servicios, equipos, instalaciones o personal, deber tenerse en cuenta que la delegacin se limita a las funciones. La organizacin sigue siendo en todo momento responsable de los riesgos en que se incurre en la medida en que impacten sobre la informacin manejada y los servicios finales prestados por la organizacin. La organizacin dispondr las medidas necesarias para poder ejercer su responsabilidad y mantener el control en todo momento.
cve: BOE-A-2010-1330
dimensiones categora
Previa a la utilizacin de recursos externos se establecern contractualmente las caractersticas del servicio prestado y las responsabilidades de las partes. Se detallar lo que se considera calidad mnima del servicio prestado y las consecuencias de su incumplimiento. 4.4.2 Gestin diaria [op.ext.2].
todas bsica no aplica media aplica alta =
dimensiones categora
Para la gestin diaria del sistema, se establecern los siguientes puntos: a) Un sistema rutinario para medir el cumplimiento de las obligaciones de servicio y el procedimiento para neutralizar cualquier desviacin fuera del margen de tolerancia acordado ([op.ext.1]). b) El mecanismo y los procedimientos de coordinacin para llevar a cabo las tareas de mantenimiento de los sistemas afectados por el acuerdo. c) El mecanismo y los procedimientos de coordinacin en caso de incidencias y desastres (ver [op.exp.7]). 4.4.3 Medios alternativos [op.ext.9].
D bajo no aplica medio no aplica alto aplica
dimensiones nivel
Estar prevista la provisin del servicio por medios alternativos en caso de indisponibilidad del servicio contratado. El servicio alternativo disfrutar de las mismas garantas de seguridad que el servicio habitual. 4.5 Continuidad del servicio [op.cont].
Se realizar un anlisis de impacto que permita determinar: a) Los requisitos de disponibilidad de cada servicio medidos como el impacto de una interrupcin durante un cierto periodo de tiempo. b) Los elementos que son crticos para la prestacin de cada servicio.
dimensiones nivel
Se desarrollar un plan de continuidad que establezca las acciones a ejecutar en caso de interrupcin de los servicios prestados con los medios habituales. Este plan contemplar los siguientes aspectos: a) Se identificarn funciones, responsabilidades y actividades a realizar. b) Existir una previsin de los medios alternativos que se va a conjugar para poder seguir prestando los servicios. c) Todos los medios alternativos estarn planificados y materializados en acuerdos o contratos con los proveedores correspondientes. d) Las personas afectadas por el plan recibirn formacin especfica relativa a su papel en dicho plan. e) El plan de continuidad ser parte integral y armnica de los planes de continuidad de la organizacin en otras materias ajenas a la seguridad. 4.5.3 Pruebas peridicas [op.cont.3].
D bajo no aplica medio no aplica alto aplica
dimensiones nivel
Se realizarn pruebas peridicas para localizar y, corregir en su caso, los errores o deficiencias que puedan existir en el plan de continuidad 4.6 Monitorizacin del sistema [op.mon].
El sistema estar sujeto a medidas de monitorizacin de su actividad. 4.6.1 Deteccin de intrusin [op.mon.1].
todas bsica no aplica media no aplica alta aplica
dimensiones categora
dimensiones categora
Se establecer un conjunto de indicadores que mida el desempeo real del sistema en materia de seguridad, en los siguientes aspectos: a) Grado de implantacin de las medidas de seguridad. b) Eficacia y eficiencia de las medidas de seguridad. c) Impacto de los incidentes de seguridad.
dimensiones categora
El equipamiento de instalar en reas separadas especficas para su funcin. Se controlarn los accesos a las reas indicadas de forma que slo se pueda acceder por las entradas previstas y vigiladas. 5.1.2 Identificacin de las personas [mp.if.2].
todas bsica aplica media = alta =
dimensiones categora
El mecanismo de control de acceso se atendr a lo que se dispone a continuacin: a) Se identificar a todas las personas que accedan a los locales donde hay equipamiento que forme parte del sistema de informacin. b) Se registrarn las entradas y salidas de personas. 5.1.3 Acondicionamiento de los locales [mp.if.3].
dimensiones categora todas bsica aplica media = alta =
Los locales donde se ubiquen los sistemas de informacin y sus componentes, dispondrn de elementos adecuados para el eficaz funcionamiento del equipamiento all instalado. Y, en especial: a) Condiciones de temperatura y humedad. b) Proteccin frente a las amenazas identificadas en el anlisis de riesgos. c) Proteccin del cableado frente a incidentes fortuitos o deliberados. 5.1.4 Energa elctrica [mp.if.4].
D bajo aplica medio + alto =
cve: BOE-A-2010-1330
dimensiones nivel
Los locales donde se ubiquen los sistemas de informacin y sus componentes dispondrn de la energa elctrica, y sus tomas correspondientes, necesaria para su funcionamiento, de forma que en los mismos: a) b) Se garantizar el suministro de potencia elctrica. Se garantizar el correcto funcionamiento de las luces de emergencia.
dimensiones nivel
Los locales donde se ubiquen los sistemas de informacin y sus componentes se protegern frente a incendios fortuitos o deliberados, aplicando al menos la normativa industrial pertinente. 5.1.6 Proteccin frente a inundaciones [mp.if.6].
D bajo no aplica medio aplica alto =
dimensiones nivel
Los locales donde se ubiquen los sistemas de informacin y sus componentes se protegern frente a incidentes fortuitos o deliberados causados por el agua. 5.1.7 Registro de entrada y salida de equipamiento [mp.if.7].
todas bsica aplica media = alta =
dimensiones categora
Se llevar un registro pormenorizado de toda entrada y salida de equipamiento, incluyendo la identificacin de la persona que autoriza de movimiento. 5.1.8 Instalaciones alternativas [mp.if.9].
D bajo no aplica medio no aplica alto aplica
dimensiones nivel
Se garantizar la existencia y disponibilidad de instalaciones alternativas para poder trabajar en caso de que las instalaciones habituales no estn disponibles. Las instalaciones alternativas disfrutarn de las mismas garantas de seguridad que las instalaciones habituales. 5.2 5.2.1 Gestin del personal [mp.per].
cve: BOE-A-2010-1330
dimensiones categora
dimensiones categora
1. Se informar a cada persona que trabaje en el sistema, de los deberes y responsabilidades de su puesto de trabajo en materia de seguridad. a) Se especificarn las medidas disciplinarias a que haya lugar. b) Se cubrir tanto el periodo durante el cual se desempea el puesto, como las obligaciones en caso de trmino de la asignacin, o traslado a otro puesto de trabajo. c) Se contemplar el deber de confidencialidad respecto de los datos a los que tenga acceso, tanto durante el periodo que estn adscritos al puesto de trabajo, como posteriormente a su terminacin. 2. En caso de personal contratado a travs de un tercero:
a) Se establecern los deberes y obligaciones del personal. b) Se establecern los deberes y obligaciones de cada parte. c) Se establecer el procedimiento de resolucin de incidentes relacionados con el incumplimiento de las obligaciones. 5.2.3 Concienciacin [mp.per.3].
todas bsica aplica media = alta =
dimensiones categora
Se realizarn las acciones necesarias para concienciar regularmente al personal acerca de su papel y responsabilidad para que la seguridad del sistema alcance los niveles exigidos. En particular, se recordar regularmente: a) La normativa de seguridad relativa al buen uso de los sistemas. b) La identificacin de incidentes, actividades o comportamientos sospechosos que deban ser reportados para su tratamiento por personal especializado. c) El procedimiento de reporte de incidencias de seguridad, sean reales o falsas alarmas.
cve: BOE-A-2010-1330
5.2.4
Formacin [mp.per.4].
todas bsica aplica media = alta =
dimensiones categora
dimensiones nivel
Se garantizar a existencia y disponibilidad de otras personas que se puedan hacer cargo de las funciones en caso de indisponibilidad del personal habitual. El personal alternativo deber estar sometido a las mismas garantas de seguridad que el personal habitual. 5.3 5.3.1 Proteccin de los equipos [mp.eq]. Puesto de trabajo despejado [mp.eq.1].
todas bsica aplica media + alta =
dimensiones categora
Se exigir que los puestos de trabajo permanezcan despejados, sin ms material encima de la mesa que el requerido para la actividad que se est realizando en cada momento Categora MEDIA Este material se guardar en lugar cerrado cuando no se est utilizando. 5.3.2 Bloqueo de puesto de trabajo [mp.eq.2].
A bajo no aplica medio aplica alto +
dimensiones nivel
El puesto de trabajo se bloquear al cabo de un tiempo prudencial de inactividad, requiriendo una nueva autenticacin del usuario para reanudar la actividad en curso. Categora ALTA Pasado un cierto tiempo, superior al anterior, se cancelarn las sesiones abiertas desde dicho puesto de trabajo.
cve: BOE-A-2010-1330
5.3.3
dimensiones categora
dimensiones nivel
Se garantizar la existencia y disponibilidad de medios alternativos de tratamiento de la informacin para el caso de que fallen los medios habituales. Estos medios alternativos estarn sujetos a las mismas garantas de proteccin. Igualmente, se establecer un tiempo mximo para que los equipos alternativos entren en funcionamiento. 5.4 5.4.1 Proteccin de las comunicaciones [mp.com]. Permetro seguro [mp.com.1].
todas bsica aplica media = alta +
dimensiones categora
Se dispondr un sistema cortafuegos que separe la red interna del exterior. Todo el trfico deber atravesar dicho cortafuegos que slo dejara transitar los flujos previamente autorizados.
cve: BOE-A-2010-1330
Categora ALTA a) El sistema de cortafuegos constar de dos o ms equipos de diferente fabricante dispuestos en cascada. b) Se dispondrn sistemas redundantes.
dimensiones nivel
Nivel MEDIO a) Se emplearn redes privadas virtuales cuando la comunicacin discurra por redes fuera del propio dominio de seguridad. b) Se emplearn algoritmos acreditados por el Centro Criptolgico Nacional. Nivel ALTO a) Se emplearn, preferentemente, dispositivos hardware en el establecimiento y utilizacin de la red privada virtual. b) Se emplearn, preferentemente, productos certificados [op.pl.5]. 5.4.3 Proteccin de la autenticidad y de la integridad [mp.com.3].
IA bajo aplica medio + alto +
dimensiones nivel
Nivel BAJO a) Se asegurar la autenticidad del otro extremo de un canal de comunicacin antes de intercambiar informacin alguna (ver [op.acc.5]). b) Se prevendrn ataques activos, garantizando que al menos sern detectados. y se activarn los procedimientos previstos de tratamiento del incidente Se considerarn ataques activos: 1. 2. 3. La alteracin de la informacin en transito La inyeccin de informacin espuria El secuestro de la sesin por una tercera parte
Nivel MEDIO a) Se emplearn redes privadas virtuales cuando la comunicacin discurra por redes fuera del propio dominio de seguridad. b) Se emplearn algoritmos acreditados por el Centro Criptolgico Nacional. Nivel ALTO a) Se valorar positivamente en empleo de dispositivos hardware en el establecimiento y utilizacin de la red privada virtual. b) Se emplearn, preferentemente, productos certificados [op.pl.5]. 5.4.4 Segregacin de redes [mp.com.4].
cve: BOE-A-2010-1330
dimensiones categora
dimensiones nivel
Se garantizar la existencia y disponibilidad de medios alternativos de comunicacin para el caso de que fallen los medios habituales. Los medios alternativos de comunicacin: a) Estarn sujetos y proporcionar las mismas garantas de proteccin que el medio habitual. b) Garantizarn un tiempo mximo de entrada en funcionamiento. 5.5 5.5.1 Proteccin de los soportes de informacin [mp.si]. Etiquetado [mp.si.1].
C bajo aplica medio = alto =
dimensiones nivel
Los soportes de informacin se etiquetarn de forma que, sin revelar su contenido, se indique el nivel de seguridad de la informacin contenida de mayor calificacin. Los usuarios han de estar capacitados para entender el significado de las etiquetas, bien mediante simple inspeccin, bien mediante el recurso a un repositorio que lo explique. 5.5.2 Criptografa. [mp.si.2].
IC bajo no aplica medio aplica alto +
dimensiones nivel
Nivel ALTO a) b) Se emplearn algoritmos acreditados por el Centro Criptolgico Nacional. Se emplearn, preferentemente, productos certificados [op.pl.5].
cve: BOE-A-2010-1330
Esta medida se aplica, en particular, a todos los dispositivos removibles. Se entendern por dispositivos removibles, los CD, DVD, discos USB, u otros de naturaleza anloga. Se aplicarn mecanismos criptogrficos que garanticen la confidencialidad y la integridad de la informacin contenida.
dimensiones categora
Se aplicar la debida diligencia y control a los soportes de informacin que permanecen bajo la responsabilidad de la organizacin, mediante las siguientes actuaciones: a) Garantizando el control de acceso con medidas fsicas ([mp.if.1] y [mpl.if.7]) lgicas ([mp.si.2]), o ambas. b) Garantizando que se respetan las exigencias de mantenimiento del fabricante, en especial, en lo referente a temperatura, humedad y otros agresores medioambientales. 5.5.4 Transporte [mp.si.4].
dimensiones categora todas bsica aplica media = alta =
El responsable de sistemas garantizar que los dispositivos permanecen bajo control y que satisfacen sus requisitos de seguridad mientras estn siendo desplazados de un lugar a otro. Para ello: a) Se dispondr de un registro de salida que identifique al transportista que recibe el soporte para su traslado. b) Se dispondr de un registro de entrada que identifique al transportista que lo entrega. c) Se dispondr de un procedimiento rutinario que coteje las salidas con las llegadas y levante las alarmas pertinentes cuando se detecte algn incidente. d) Se utilizarn los medios de proteccin criptogrfica ([mp.si.2]) correspondientes al nivel de calificacin de la informacin contenida de mayor nivel. e) Se gestionarn las claves segn [op.exp.11]. 5.5.5 Borrado y destruccin [mp.si.5].
C bajo no aplica medio aplica alto =
dimensiones nivel
La medida de borrado y destruccin de soportes de informacin se aplicar a todo tipo de equipos susceptibles de almacenar informacin, incluyendo medios electrnicos y no electrnicos. a) Los soportes que vayan a ser reutilizados para otra informacin o liberados a otra organizacin sern objeto de un borrado seguro de su anterior contenido. b) Se destruirn de forma segura los soportes, en los siguientes casos: 1. Cuando la naturaleza del soporte no permita un borrado seguro. 2. Cuando as lo requiera el procedimiento asociado al tipo de la informacin contenida,. c) Se emplearn, preferentemente, productos certificados [op.pl.5].
cve: BOE-A-2010-1330
dimensiones categora
a) El desarrollo de aplicaciones se realizar sobre un sistema diferente y separado del de produccin, no debiendo existir herramientas o datos de desarrollo en el entorno de produccin. b) Se aplicar una metodologa de desarrollo reconocida que: 1. Tome en consideracin los aspectos de seguridad a lo largo de todo el ciclo de vida. 2. Trate especficamente los datos usados en pruebas. 3. Permita la inspeccin del cdigo fuente. c) 1. 2. 3. Los siguientes elementos sern parte integral del diseo del sistema: Los mecanismos de identificacin y autenticacin. Los mecanismos de proteccin de la informacin tratada. La generacin y tratamiento de pistas de auditora.
d) Las pruebas anteriores a la implantacin o modificacin de los sistemas de informacin no se realizarn con datos reales, salvo que se asegure el nivel de seguridad correspondiente. 5.6.2 Aceptacin y puesta en servicio [mp.sw.2].
dimensiones categora todas bsica aplica media + alta ++
Categora BSICA Antes de pasar a produccin se comprobar el correcto funcionamiento de la aplicacin. a) 1. 2. Se comprobar que: Se cumplen los criterios de aceptacin en materia de seguridad. No se deteriora la seguridad de otros componentes del servicio.
b) Las pruebas se realizarn en un entorno aislado (pre-produccin). c) Las pruebas de aceptacin no se realizarn con datos reales, salvo que se asegure el nivel de seguridad correspondiente. Categora MEDIA
cve: BOE-A-2010-1330
Se realizarn las siguientes inspecciones previas a la entrada en servicio: a) Anlisis de vulnerabilidades. b) Pruebas de penetracin.
dimensiones categora
Cuando el sistema trate datos de carcter personal, se estar a lo dispuesto en la Ley Orgnica 15/1999, de 13 de diciembre, y normas de desarrollo, sin perjuicio de cumplir, adems, las medidas establecidas por este real decreto. Lo indicado en el prrafo anterior tambin se aplicar, cuando una disposicin con rango de ley se remita a las normas sobre datos de carcter personal en la proteccin de informacin. 5.7.2 Calificacin de la informacin [mp.info.2].
C bajo aplica medio + alto =
dimensiones nivel
1. Para calificar la informacin se estar a lo establecido legalmente sobre la naturaleza de la misma. 2. La poltica de seguridad establecer quin es el responsable de cada informacin manejada por el sistema. 3. La poltica de seguridad recoger, directa o indirectamente, los criterios que, en cada organizacin, determinarn el nivel de seguridad requerido, dentro del marco establecido en el artculo 43 y los criterios generales prescritos en el Anexo I. 4. El responsable de cada informacin seguir los criterios determinados en el apartado anterior para asignar a cada informacin el nivel de seguridad requerido, y ser responsable de su documentacin y aprobacin formal. 5. El responsable de cada informacin en cada momento tendr en exclusiva la potestad de modificar el nivel de seguridad requerido, de acuerdo a los apartados anteriores. Nivel MEDIO Se redactarn los procedimientos necesarios que describan, en detalle, la forma en que se ha de etiquetar y tratar la informacin en consideracin al nivel de seguridad que requiere; y precisando cmo se ha de realizar: a) Su control de acceso. b) Su almacenamiento. c) La realizacin de copias. d) El etiquetado de soportes. e) Su transmisin telemtica. f) Y cualquier otra actividad relacionada con dicha informacin.
cve: BOE-A-2010-1330
dimensiones nivel
Para el cifrado de informacin se estar a lo que se indica a continuacin: a) La informacin con un nivel alto en confidencialidad se cifrar tanto durante su almacenamiento como durante su transmisin. Slo estar en claro mientras se est haciendo uso de ella. b) Para el uso de criptografa en las comunicaciones, se estar a lo dispuesto en [mp. com.2]. c) Para el uso de criptografa en los soportes de informacin, se estar a lo dispuesto en [mp.si.2]. 5.7.4 Firma electrnica [mp.info.4].
IA bajo aplica medio + alto ++
dimensiones nivel
La firma electrnica es un mecanismo de prevencin del repudio; es decir, previene frente a la posibilidad de que en el futuro el signatario pudiera desdecirse de la informacin firmada. La firma electrnica garantiza la autenticidad del signatario y la integridad del contenido. Cuando se emplee firma electrnica: a) El signatario ser la parte que se hace responsable de la informacin, en la medida de sus atribuciones. b) Se dispondr de una Poltica de Firma Electrnica, aprobada por el rgano superior competente que corresponda. Nivel BAJO Se emplear cualquier medio de firma electrnica de los previstos en la legislacin vigente. Nivel MEDIO 1. Los medios utilizados en la firma electrnica sern proporcionados a la calificacin de la informacin tratada. En todo caso: a) Se emplearn algoritmos acreditados por el Centro Criptolgico Nacional. b) Se emplearn, preferentemente, certificados reconocidos. c) Se emplearn, preferentemente, dispositivos seguros de firma. 2. Se garantizar la verificacin y validacin de la firma electrnica durante el tiempo requerido por la actividad administrativa que aqulla soporte, sin perjuicio de que se pueda ampliar este perodo de acuerdo con lo que establezca la poltica de firma electrnica y de certificados que sea de aplicacin. Para tal fin: a) Se adjuntar a la firma, o se referenciar, toda la informacin pertinente para su verificacin y validacin: 1. 2. Certificados. Datos de verificacin y validacin.
cve: BOE-A-2010-1330
dimensiones nivel
Los sellos de tiempo prevendrn la posibilidad del repudio posterior: 1. Los sellos de tiempo se aplicarn a aquella informacin que sea susceptible de ser utilizada como evidencia electrnica en el futuro. 2. Los datos pertinentes para la verificacin posterior de la fecha sern tratados con la misma seguridad que la informacin fechada a efectos de disponibilidad, integridad y confidencialidad. 3. Se renovarn regularmente los sellos de tiempo hasta que la informacin protegida ya no sea requerida por el proceso administrativo al que da soporte. 4. Se utilizarn productos certificados (segn [op.pl.5]) o servicios externos admitidos. Vase [op.exp.10]. 5.7.6 Limpieza de documentos [mp.info.6].
C bajo aplica medio = alto =
dimensiones nivel
En el proceso de limpieza de documentos, se retirar de estos toda la informacin adicional contenida en campos ocultos, meta-datos, comentarios o revisiones anteriores, salvo cuando dicha informacin sea pertinente para el receptor del documento. Esta medida es especialmente relevante cuando el documento se difunde ampliamente, como ocurre cuando se ofrece al pblico en un servidor web u otro tipo de repositorio de informacin. Se tendr presente que el incumplimiento de esta medida puede perjudicar:
cve: BOE-A-2010-1330
a) Al mantenimiento de la confidencialidad de informacin que no debera haberse revelado al receptor del documento. b) Al mantenimiento de la confidencialidad de las fuentes u orgenes de la informacin, que no debe conocer el receptor del documento. c) A la buena imagen de la organizacin que difunde el documento por cuanto demuestra un descuido en su buen hacer.
dimensiones nivel
Se realizarn copias de respaldo que permitan recuperar datos perdidos accidental o intencionadamente con una antigedad determinada. Las copias de respaldo disfrutarn de la misma seguridad que los datos originales en lo que se refiere a integridad, confidencialidad, autenticidad y trazabilidad. En particular, se considerar la conveniencia o necesidad de que las copias de seguridad estn cifradas para garantizar la confidencialidad. Las copias de respaldo debern abarcar: a) Informacin de trabajo de la organizacin. b) Aplicaciones en explotacin, incluyendo los sistemas operativos. c) Datos de configuracin, servicios, aplicaciones, equipos, u otros de naturaleza anloga. d) Claves utilizadas para preservar la confidencialidad de la informacin. 5.8 5.8.1 Proteccin de los servicios [mp.s]. Proteccin del correo electrnico (e-mail) [mp.s.1].
todas bsica aplica media = alta =
dimensiones categora
El correo electrnico se proteger frente a las amenazas que le son propias, actuando del siguiente modo: a) La informacin distribuida por medio de correo electrnico, se proteger, tanto en el cuerpo de los mensajes, como en los anexos. b) Se proteger la informacin de encaminamiento de mensajes y establecimiento de conexiones. c) Se proteger a la organizacin frente a problemas que se materializan por medio del correo electrnico, en concreto: 1. Correo no solicitado, en su expresin inglesa spam. 2. Programas dainos, constituidos por virus, gusanos, troyanos, espas, u otros de naturaleza anloga. 3. Cdigo mvil de tipo applet. d) Se establecern normas de uso del correo electrnico por parte del personal determinado. Estas normas de uso contendrn: 1. Limitaciones al uso como soporte de comunicaciones privadas.
5.8.2
dimensiones categora
dimensiones nivel
Nivel MEDIO Se establecern medidas preventivas y reactivas frente a ataques de denegacin de servicio (DOS Denial of Service). Para ello: a) Se planificar y dotar al sistema de capacidad suficiente para atender a la carga prevista con holgura. b) Se desplegarn tecnologas para prevenir los ataques conocidos. Nivel ALTO a) Se establecer un sistema de deteccin de ataques de denegacin de servicio. b) Se establecern procedimientos de reaccin a los ataques, incluyendo la comunicacin con el proveedor de comunicaciones. c) Se impedir el lanzamiento de ataques desde las propias instalaciones perjudicando a terceros. 5.8.4 Medios alternativos [mp.s.9].
D bajo no aplica medio no aplica alto
cve: BOE-A-2010-1330
dimensiones nivel
aplica
Se garantizar la existencia y disponibilidad de medios alternativos para prestar los servicios en el caso de que fallen los medios habituales. Estos medios alternativos estarn sujetos a las mismas garantas de proteccin que los medios habituales.
cve: BOE-A-2010-1330
cve: BOE-A-2010-1330
cve: BOE-A-2010-1330
http://www.boe.es
cve: BOE-A-2010-1330