Esquema Nacional de Seguridad en El Ámbito de La Administración Electrónica

BOLETN OFICIAL DEL ESTADO
Nm. 25 Viernes 29 de enero de 2010 Sec. I. Pg. 8089
I.
DISPOSICIONES GENERALES
MINISTERIO DE LA PRESIDENCIA
1330
Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el mbito de la Administracin Electrnica. I La necesaria generalizacin de la sociedad de la informacin es subsidiaria, en gran medida, de la confianza que genere en los ciudadanos la relacin a travs de medios electrnicos. En el mbito de las Administraciones pblicas, la consagracin del derecho a comunicarse con ellas a travs de medios electrnicos comporta una obligacin correlativa de las mismas, que tiene, como premisas, la promocin de las condiciones para que la libertad y la igualdad sean reales y efectivas, y la remocin de los obstculos que impidan o dificulten su plenitud, lo que demanda incorporar las peculiaridades que exigen una aplicacin segura de estas tecnologas. A ello ha venido a dar respuesta el artculo 42.2 de la Ley 11/2007, de 22 de junio, de acceso electrnico de los ciudadanos a los servicios pblicos, mediante la creacin del Esquema Nacional de Seguridad, cuyo objeto es el establecimiento de los principios y requisitos de una poltica de seguridad en la utilizacin de medios electrnicos que permita la adecuada proteccin de la informacin. La finalidad del Esquema Nacional de Seguridad es la creacin de las condiciones necesarias de confianza en el uso de los medios electrnicos, a travs de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrnicos, que permita a los ciudadanos y a las Administraciones pblicas, el ejercicio de derechos y el cumplimiento de deberes a travs de estos medios. El Esquema Nacional de Seguridad persigue fundamentar la confianza en que los sistemas de informacin prestarn sus servicios y custodiarn la informacin de acuerdo con sus especificaciones funcionales, sin interrupciones o modificaciones fuera de control, y sin que la informacin pueda llegar al conocimiento de personas no autorizadas. Se desarrollar y perfeccionar en paralelo a la evolucin de los servicios y a medida que vayan consolidndose los requisitos de los mismos y de las infraestructuras que lo apoyan. Actualmente los sistemas de informacin de las administraciones pblicas estn fuertemente imbricados entre s y con sistemas de informacin del sector privado: empresas y administrados. De esta manera, la seguridad tiene un nuevo reto que va ms all del aseguramiento individual de cada sistema. Es por ello que cada sistema debe tener claro su permetro y los responsables de cada dominio de seguridad deben coordinarse efectivamente para evitar tierras de nadie y fracturas que pudieran daar a la informacin o a los servicios prestados. En este contexto se entiende por seguridad de las redes y de la informacin, la capacidad de las redes o de los sistemas de informacin de resistir, con un determinado nivel de confianza, los accidentes o acciones ilcitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos y de los servicios que dichas redes y sistemas ofrecen o hacen accesibles. II El Esquema Nacional de Seguridad tiene presentes las recomendaciones de la Unin Europea (Decisin 2001/844/CE CECA, Euratom de la Comisin, de 29 de noviembre de 2001, por la que se modifica su Reglamento interno y Decisin 2001/264/CE del Consejo, de 19 de marzo de 2001, por la que se adoptan las normas de seguridad del Consejo), la situacin tecnolgica de las diferentes Administraciones pblicas, as como
cve: BOE-A-2010-1330

Nm. 25 Viernes 29 de enero de 2010 Sec. I. Pg. 8090 los servicios electrnicos existentes en las mismas, la utilizacin de estndares abiertos y, de forma complementaria, estndares de uso generalizado por los ciudadanos. Su articulacin se ha realizado atendiendo a la normativa nacional sobre Administracin electrnica, proteccin de datos de carcter personal, firma electrnica y documento nacional de identidad electrnico, Centro Criptolgico Nacional, sociedad de la informacin, reutilizacin de la informacin en el sector pblico y rganos colegiados responsables de la Administracin Electrnica; as como la regulacin de diferentes instrumentos y servicios de la Administracin, las directrices y guas de la OCDE y disposiciones nacionales e internacionales sobre normalizacin. La Ley 11/2007, de 22 de junio, posibilita e inspira esta norma, a cuyo desarrollo coadyuva, en los aspectos de la seguridad de los sistemas de tecnologas de la informacin en las Administraciones pblicas, contribuyendo al desarrollo de un instrumento efectivo que permite garantizar los derechos de los ciudadanos en la Administracin electrnica. La Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter Personal y sus normas de desarrollo, determinan las medidas para la proteccin de los datos de carcter personal. Adems, aportan criterios para establecer la proporcionalidad entre las medidas de seguridad y la informacin a proteger. La Ley 30/1992, de 26 de noviembre, de Rgimen Jurdico de las Administraciones Pblicas y del Procedimiento Administrativo Comn, referente legal imprescindible de cualquier regulacin administrativa, determina la configuracin de numerosos mbitos de confidencialidad administrativos, diferentes a la informacin clasificada y a los datos de carcter personal, que necesitan ser materialmente protegidos. Asimismo determina el sustrato legal de las comunicaciones administrativas y sus requisitos jurdicos de validez y eficacia, sobre los que soportar los requerimientos tecnolgicos y de seguridad necesarios para proyectar sus efectos en las comunicaciones realizadas por va electrnica. La Ley 37/2007, de 16 de noviembre, sobre reutilizacin de la informacin del sector pblico que determina la regulacin bsica del rgimen jurdico aplicable a la reutilizacin de documentos elaborados en el sector pblico, que configura un mbito excepcionado de su aplicacin, en el que se encuentra la informacin a la que se refiere el Esquema Nacional de Seguridad. Junto a las disposiciones indicadas, han inspirado el contenido de esta norma, documentos de la Administracin en materia de seguridad electrnica, tales como los Criterios de Seguridad, Normalizacin y Conservacin, las Guas CCN-STIC de Seguridad de los Sistemas de Informacin y Comunicaciones, la Metodologa y herramientas de anlisis y gestin de riesgos o el Esquema Nacional de Interoperabilidad, tambin desarrollado al amparo de lo dispuesto en la Ley 11/2007, de 22 de junio. III Este real decreto se limita a establecer los principios bsicos y requisitos mnimos que, de acuerdo con el inters general, naturaleza y complejidad de la materia regulada, permiten una proteccin adecuada de la informacin y los servicios, lo que exige incluir el alcance y procedimiento para gestionar la seguridad electrnica de los sistemas que tratan informacin de las Administraciones pblicas en el mbito de la Ley 11/2007, de 22 de junio. Con ello, se logra un comn denominador normativo, cuya regulacin no agota todas las posibilidades de normacin, y permite ser completada, mediante la regulacin de los objetivos, materialmente no bsicos, que podrn ser decididos por polticas legislativas territoriales. Para dar cumplimiento a lo anterior se determinan las dimensiones de seguridad y sus niveles, la categora de los sistemas, las medidas de seguridad adecuadas y la auditora peridica de la seguridad; se implanta la elaboracin de un informe para conocer regularmente el estado de seguridad de los sistemas de informacin a los que se refiere el presente real decreto, se establece el papel de la capacidad de respuesta ante incidentes de seguridad de la informacin del Centro Criptolgico Nacional, se incluye un glosario de trminos y se hace una referencia expresa a la formacin.
cve: BOE-A-2010-1330

Nm. 25 Viernes 29 de enero de 2010 Sec. I. Pg. 8091 La norma se estructura en diez captulos, cuatro disposiciones adicionales, una disposicin transitoria, una disposicin derogatoria y tres disposiciones finales. A los cuatro primeros anexos dedicados a la categora de los sistemas, las medidas de seguridad, la auditora de la seguridad, y el glosario de trminos, se les une un quinto que establece un modelo de clusula administrativa particular a incluir en las prescripciones administrativas de los contratos correspondientes. En este real decreto se concibe la seguridad como una actividad integral, en la que no caben actuaciones puntuales o tratamientos coyunturales, debido a que la debilidad de un sistema la determina su punto ms frgil y, a menudo, este punto es la coordinacin entre medidas individualmente adecuadas pero deficientemente ensambladas. La informacin tratada en los sistemas electrnicos a los que se refiere este real decreto estar protegida teniendo en cuenta los criterios establecidos en la Ley Orgnica 15/1999, de 13 de diciembre. El presente real decreto se aprueba en aplicacin de lo dispuesto en la disposicin final octava de la Ley 11/2007, de 22 de junio y, de acuerdo con lo dispuesto en el artculo 42 apartado 3 y disposicin final primera de dicha norma, se ha elaborado con la participacin de todas las Administraciones pblicas a las que les es de aplicacin, ha sido informado favorablemente por la Comisin Permanente del Consejo Superior de Administracin Electrnica, la Conferencia Sectorial de Administracin Pblica y la Comisin Nacional de Administracin Local; y ha sido sometido al previo informe de la Agencia Espaola de Proteccin de Datos. Asimismo, se ha sometido a la audiencia de los ciudadanos segn las previsiones establecidas en el artculo 24 de la Ley 50/1997, de 27 de noviembre, del Gobierno. En su virtud, a propuesta de la Ministra de la Presidencia, de acuerdo con el Consejo de Estado y previa deliberacin del Consejo de Ministros en su reunin del da 8 de enero de 2010, DISPONGO: CAPTULO I Disposiciones generales Artculo 1. Objeto. 1. El presente real decreto tiene por objeto regular el Esquema Nacional de Seguridad establecido en el artculo 42 de la Ley 11/2007, de 22 de junio, y determinar la poltica de seguridad que se ha de aplicar en la utilizacin de los medios electrnicos a los que se refiere la citada ley. 2. El Esquema Nacional de Seguridad est constituido por los principios bsicos y requisitos mnimos requeridos para una proteccin adecuada de la informacin. Ser aplicado por las Administraciones pblicas para asegurar el acceso, integridad, disponibilidad, autenticidad, confidencialidad, trazabilidad y conservacin de los datos, informaciones y servicios utilizados en medios electrnicos que gestionen en el ejercicio de sus competencias. Artculo 2. Definiciones y estndares. A los efectos previstos en este real decreto, las definiciones, palabras, expresiones y trminos han de ser entendidos en el sentido indicado en el Glosario de Trminos incluido en el anexo IV. Artculo 3. mbito de aplicacin. El mbito de aplicacin del presente real decreto ser el establecido en el artculo 2 de la Ley 11/2007, de 22 de junio.
cve: BOE-A-2010-1330

Nm. 25 Viernes 29 de enero de 2010 Sec. I. Pg. 8092 Estn excluidos del mbito de aplicacin indicado en el prrafo anterior los sistemas que tratan informacin clasificada regulada por Ley 9/1968, de 5 de abril, de Secretos Oficiales y normas de desarrollo. CAPTULO II Principios bsicos Artculo 4. Principios bsicos del Esquema Nacional de Seguridad. El objeto ltimo de la seguridad de la informacin es asegurar que una organizacin administrativa podr cumplir sus objetivos utilizando sistemas de informacin. En las decisiones en materia de seguridad debern tenerse en cuenta los siguientes principios bsicos: a) Seguridad integral. b) Gestin de riesgos. c) Prevencin, reaccin y recuperacin. d) Lneas de defensa. e) Reevaluacin peridica. f) Funcin diferenciada. Artculo 5. La seguridad como un proceso integral. 1. La seguridad se entender como un proceso integral constituido por todos los elementos tcnicos, humanos, materiales y organizativos, relacionados con el sistema. La aplicacin del Esquema Nacional de Seguridad estar presidida por este principio, que excluye cualquier actuacin puntual o tratamiento coyuntural. 2. Se prestar la mxima atencin a la concienciacin de las personas que intervienen en el proceso y a sus responsables jerrquicos, para que, ni la ignorancia, ni la falta de organizacin y coordinacin, ni instrucciones inadecuadas, sean fuentes de riesgo para la seguridad. Artculo 6. Gestin de la seguridad basada en los riesgos. 1. El anlisis y gestin de riesgos ser parte esencial del proceso de seguridad y deber mantenerse permanentemente actualizado. 2. La gestin de riesgos permitir el mantenimiento de un entorno controlado, minimizando los riesgos hasta niveles aceptables. La reduccin de estos niveles se realizar mediante el despliegue de medidas de seguridad, que establecer un equilibrio entre la naturaleza de los datos y los tratamientos, los riesgos a los que estn expuestos y las medidas de seguridad. Artculo 7. Prevencin, reaccin y recuperacin. 1. La seguridad del sistema debe contemplar los aspectos de prevencin, deteccin y correccin, para conseguir que las amenazas sobre el mismo no se materialicen, no afecten gravemente a la informacin que maneja, o los servicios que se prestan. 2. Las medidas de prevencin deben eliminar o, al menos reducir, la posibilidad de que las amenazas lleguen a materializarse con perjuicio para el sistema. Estas medidas de prevencin contemplarn, entre otras, la disuasin y la reduccin de la exposicin. 3. Las medidas de deteccin estarn acompaadas de medidas de reaccin, de forma que los incidentes de seguridad se atajen a tiempo. 4. Las medidas de recuperacin permitirn la restauracin de la informacin y los servicios, de forma que se pueda hacer frente a las situaciones en las que un incidente de seguridad inhabilite los medios habituales. 5. Sin merma de los dems principios bsicos y requisitos mnimos establecidos, el sistema garantizar la conservacin de los datos e informaciones en soporte electrnico.
cve: BOE-A-2010-1330

Nm. 25 Viernes 29 de enero de 2010 Sec. I. Pg. 8093 De igual modo, el sistema mantendr disponibles los servicios durante todo el ciclo vital de la informacin digital, a travs de una concepcin y procedimientos que sean la base para la preservacin del patrimonio digital. Artculo 8. Lneas de defensa. 1. El sistema ha de disponer de una estrategia de proteccin constituida por mltiples capas de seguridad, dispuesta de forma que, cuando una de las capas falle, permita: a) Ganar tiempo para una reaccin adecuada frente a los incidentes que no han podido evitarse. b) Reducir la probabilidad de que el sistema sea comprometido en su conjunto. c) Minimizar el impacto final sobre el mismo. 2. Las lneas de defensa han de estar constituidas por medidas de naturaleza organizativa, fsica y lgica. Artculo 9. Reevaluacin peridica. Las medidas de seguridad se reevaluarn y actualizarn peridicamente, para adecuar su eficacia a la constante evolucin de los riesgos y sistemas de proteccin, llegando incluso a un replanteamiento de la seguridad, si fuese necesario. Artculo 10. La seguridad como funcin diferenciada.
En los sistemas de informacin se diferenciar el responsable de la informacin, el responsable del servicio y el responsable de la seguridad. El responsable de la informacin determinar los requisitos de la informacin tratada; el responsable del servicio determinar los requisitos de los servicios prestados; y el responsable de seguridad determinar las decisiones para satisfacer los requisitos de seguridad de la informacin y de los servicios. La responsabilidad de la seguridad de los sistemas de informacin estar diferenciada de la responsabilidad sobre la prestacin de los servicios. La poltica de seguridad de la organizacin detallar las atribuciones de cada responsable y los mecanismos de coordinacin y resolucin de conflictos. CAPTULO III Requisitos mnimos Artculo 11. Requisitos mnimos de seguridad. 1. Todos los rganos superiores de las Administraciones pblicas debern disponer formalmente de su poltica de seguridad, que ser aprobada por el titular del rgano superior correspondiente. Esta poltica de seguridad, se establecer en base a los principios bsicos indicados y se desarrollar aplicando los siguientes requisitos mnimos: a) b) c) d) e) f) g) h) i) j) k) Organizacin e implantacin del proceso de seguridad. Anlisis y gestin de los riesgos. Gestin de personal. Profesionalidad. Autorizacin y control de los accesos. Proteccin de las instalaciones. Adquisicin de productos. Seguridad por defecto. Integridad y actualizacin del sistema. Proteccin de la informacin almacenada y en trnsito. Prevencin ante otros sistemas de informacin interconectados.
cve: BOE-A-2010-1330

Nm. 25 Viernes 29 de enero de 2010 l) Registro de actividad. m) Incidentes de seguridad. n) Continuidad de la actividad. o) Mejora continua del proceso de seguridad. 2. A los efectos indicados en el apartado anterior, se considerarn rganos superiores, los responsables directos de la ejecucin de la accin del gobierno, central, autonmico o local, en un sector de actividad especfico, de acuerdo con lo establecido en la Ley 6/1997, de 14 de abril, de organizacin y funcionamiento de la Administracin General del Estado y Ley 50/1997, de 27 de noviembre, del Gobierno; los estatutos de autonoma correspondientes y normas de desarrollo; y la Ley 7/1985, de 2 de abril, reguladora de las bases del Rgimen Local, respectivamente. Los municipios podrn disponer de una poltica de seguridad comn elaborada por la Diputacin, Cabildo, Consejo Insular u rgano unipersonal correspondiente de aquellas otras corporaciones de carcter representativo a las que corresponda el gobierno y la administracin autnoma de la provincia o, en su caso, a la entidad comarcal correspondiente a la que pertenezcan. 3. Todos estos requisitos mnimos se exigirn en proporcin a los riesgos identificados en cada sistema, pudiendo algunos no requerirse en sistemas sin riesgos significativos, y se cumplirn de acuerdo con lo establecido en el artculo 27. Artculo 12. Organizacin e implantacin del proceso de seguridad. Sec. I. Pg. 8094
La seguridad deber comprometer a todos los miembros de la organizacin. La poltica de seguridad segn se detalla en el anexo II, seccin 3.1, deber identificar unos claros responsables de velar por su cumplimiento y ser conocida por todos los miembros de la organizacin administrativa. Artculo 13. Anlisis y gestin de los riesgos.
1. Cada organizacin que desarrolle e implante sistemas para el tratamiento de la informacin y las comunicaciones realizar su propia gestin de riesgos. 2. Esta gestin se realizar por medio del anlisis y tratamiento de los riesgos a los que est expuesto el sistema. Sin perjuicio de lo dispuesto en el anexo II, se emplear alguna metodologa reconocida internacionalmente. 3. Las medidas adoptadas para mitigar o suprimir los riesgos debern estar justificadas y, en todo caso, existir una proporcionalidad entre ellas y los riesgos. Artculo 14. Gestin de personal.
1. Todo el personal relacionado con la informacin y los sistemas deber ser formado e informado de sus deberes y obligaciones en materia de seguridad. Sus actuaciones deben ser supervisadas para verificar que se siguen los procedimientos establecidos. 2. El personal relacionado con la informacin y los sistemas, ejercitar y aplicar los principios de seguridad en el desempeo de su cometido. 3. El significado y alcance del uso seguro del sistema se concretar y plasmar en unas normas de seguridad. 4. Para corregir, o exigir responsabilidades en su caso, cada usuario que acceda a la informacin del sistema debe estar identificado de forma nica, de modo que se sepa, en todo momento, quin recibe derechos de acceso, de qu tipo son stos, y quin ha realizado determinada actividad. 1. La seguridad de los sistemas estar atendida, revisada y auditada por personal cualificado, dedicado e instruido en todas las fases de su ciclo de vida: instalacin, mantenimiento, gestin de incidencias y desmantelamiento.
cve: BOE-A-2010-1330
Artculo 15.
Profesionalidad.

Nm. 25 Viernes 29 de enero de 2010 Sec. I. Pg. 8095 2. El personal de las Administraciones pblicas recibir la formacin especfica necesaria para garantizar la seguridad de las tecnologas de la informacin aplicables a los sistemas y servicios de la Administracin. 3. Las Administraciones pblicas exigirn, de manera objetiva y no discriminatoria, que las organizaciones que les presten servicios de seguridad cuenten con unos niveles idneos de gestin y madurez en los servicios prestados. Artculo 16. Autorizacin y control de los accesos. El acceso al sistema de informacin deber ser controlado y limitado a los usuarios, procesos, dispositivos y otros sistemas de informacin, debidamente autorizados, restringiendo el acceso a las funciones permitidas. Artculo 17. Proteccin de las instalaciones. Los sistemas se instalarn en reas separadas, dotadas de un procedimiento de control de acceso. Como mnimo, las salas deben estar cerradas y disponer de un control de llaves. Artculo 18. Adquisicin de productos de seguridad. 1. En la adquisicin de productos de seguridad de las tecnologas de la informacin y comunicaciones que vayan a ser utilizados por las Administraciones pblicas se valorarn positivamente aquellos que tengan certificada la funcionalidad de seguridad relacionada con el objeto de su adquisicin. 2. La certificacin indicada en el apartado anterior deber estar de acuerdo con las normas y estndares de mayor reconocimiento internacional, en el mbito de la seguridad funcional. 3. El Organismo de Certificacin del Esquema Nacional de Evaluacin y Certificacin de Seguridad de las Tecnologas de la Informacin, constituido al amparo de lo dispuesto en el artculo 2.2.c) del Real Decreto 421/2004, de 12 de marzo, y regulado por la orden PRE/2740/2007, de 19 de septiembre, dentro de sus competencias, determinar el criterio a cumplir en funcin del uso previsto del producto a que se refiera, en relacin con el nivel de evaluacin, otras certificaciones de seguridad adicionales que se requieran normativamente, as como, excepcionalmente, en los casos en que no existan productos certificados. El proceso indicado, se efectuar teniendo en cuenta los criterios y metodologas de evaluacin, determinados por las normas internacionales que recoge la orden ministerial citada. Artculo 19. Seguridad por defecto. Los sistemas deben disearse y configurarse de forma que garanticen la seguridad por defecto: a) El sistema proporcionar la mnima funcionalidad requerida para que la organizacin slo alcance sus objetivos, y no alcance ninguna otra funcionalidad adicional. b) Las funciones de operacin, administracin y registro de actividad sern las mnimas necesarias, y se asegurar que slo son accesibles por las personas, o desde emplazamientos o equipos, autorizados, pudiendo exigirse en su caso restricciones de horario y puntos de acceso facultados. c) En un sistema de explotacin se eliminarn o desactivarn, mediante el control de la configuracin, las funciones que no sean de inters, sean innecesarias e, incluso, aquellas que sean inadecuadas al fin que se persigue. d) El uso ordinario del sistema ha de ser sencillo y seguro, de forma que una utilizacin insegura requiera de un acto consciente por parte del usuario. Artculo 20. Integridad y actualizacin del sistema.
1. Todo elemento fsico o lgico requerir autorizacin formal previa a su instalacin en el sistema.
cve: BOE-A-2010-1330

Nm. 25 Viernes 29 de enero de 2010 Sec. I. Pg. 8096 2. Se deber conocer en todo momento el estado de seguridad de los sistemas, en relacin a las especificaciones de los fabricantes, a las vulnerabilidades y a las actualizaciones que les afecten, reaccionando con diligencia para gestionar el riesgo a la vista del estado de seguridad de los mismos. Artculo 21. Proteccin de informacin almacenada y en trnsito.
1. En la estructura y organizacin de la seguridad del sistema, se prestar especial atencin a la informacin almacenada o en trnsito a travs de entornos inseguros. Tendrn la consideracin de entornos inseguros los equipos porttiles, asistentes personales (PDA), dispositivos perifricos, soportes de informacin y comunicaciones sobre redes abiertas o con cifrado dbil. 2. Forman parte de la seguridad los procedimientos que aseguren la recuperacin y conservacin a largo plazo de los documentos electrnicos producidos por las Administraciones pblicas en el mbito de sus competencias. 3. Toda informacin en soporte no electrnico, que haya sido causa o consecuencia directa de la informacin electrnica a la que se refiere el presente real decreto, deber estar protegida con el mismo grado de seguridad que sta. Para ello se aplicarn las medidas que correspondan a la naturaleza del soporte en que se encuentren, de conformidad con las normas de aplicacin a la seguridad de los mismos. Artculo 22. Prevencin ante otros sistemas de informacin interconectados.
El sistema ha de proteger el permetro, en particular, si se conecta a redes pblicas. Se entender por red pblica de comunicaciones la red de comunicaciones electrnicas que se utiliza, en su totalidad o principalmente, para la prestacin de servicios de comunicaciones electrnicas disponibles para el pblico, de conformidad a la definicin establecida en el apartado 26 del anexo II, de la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones. En todo caso se analizarn los riesgos derivados de la interconexin del sistema, a travs de redes, con otros sistemas, y se controlar su punto de unin. Artculo 23. Registro de actividad.
Con la finalidad exclusiva de lograr el cumplimiento del objeto del presente real decreto, con plenas garantas del derecho al honor, a la intimidad personal y familiar y a la propia imagen de los afectados, y de acuerdo con la normativa sobre proteccin de datos personales, de funcin pblica o laboral, y dems disposiciones que resulten de aplicacin, se registrarn las actividades de los usuarios, reteniendo la informacin necesaria para monitorizar, analizar, investigar y documentar actividades indebidas o no autorizadas, permitiendo identificar en cada momento a la persona que acta. Artculo 24. Incidentes de seguridad.
1. Se establecer un sistema de deteccin y reaccin frente a cdigo daino. 2. Se registrarn los incidentes de seguridad que se produzcan y las acciones de tratamiento que se sigan. Estos registros se emplearn para la mejora continua de la seguridad del sistema. Artculo 25. Continuidad de la actividad.
Artculo 26.
Mejora continua del proceso de seguridad.
El proceso integral de seguridad implantado deber ser actualizado y mejorado de forma continua. Para ello, se aplicarn los criterios y mtodos reconocidos en la prctica nacional e internacional relativos a gestin de las tecnologas de la informacin.
cve: BOE-A-2010-1330
Los sistemas dispondrn de copias de seguridad y establecern los mecanismos necesarios para garantizar la continuidad de las operaciones, en caso de prdida de los medios habituales de trabajo.

Nm. 25 Artculo 27. Viernes 29 de enero de 2010 Cumplimiento de requisitos mnimos. Sec. I. Pg. 8097
1. Para dar cumplimiento a los requisitos mnimos establecidos en el presente real decreto, las Administraciones pblicas aplicarn las medidas de seguridad indicadas en el Anexo II, teniendo en cuenta: a) Los activos que constituyen el sistema. b) La categora del sistema, segn lo previsto en el artculo 43. c) Las decisiones que se adopten para gestionar los riesgos identificados. 2. Cuando un sistema al que afecte el presente real decreto maneje datos de carcter personal le ser de aplicacin lo dispuesto en la Ley Orgnica 15/1999, de 13 de diciembre, y normativa de desarrollo, sin perjuicio de los requisitos establecidos en el Esquema Nacional de Seguridad. 3. Los medidas a las que se refieren los apartados 1 y 2 tendrn la condicin de mnimos exigibles, y podrn ser ampliados por causa de la concurrencia indicada o del prudente arbitrio del responsable de la informacin, habida cuenta del estado de la tecnologa, la naturaleza de los servicios prestados y la informacin manejada, y los riesgos a que estn expuestos. Artculo 28. Infraestructuras y servicios comunes.
La utilizacin de infraestructuras y servicios comunes reconocidos en las Administraciones Pblicas facilitar el cumplimiento de los principios bsicos y los requisitos mnimos exigidos en el presente real decreto en condiciones de mejor eficiencia. Los supuestos concretos de utilizacin de estas infraestructuras y servicios comunes sern determinados por cada Administracin. Artculo 29. Guas de seguridad.
Para el mejor cumplimiento de lo establecido en el Esquema Nacional de Seguridad, el Centro Criptolgico Nacional, en el ejercicio de sus competencias, elaborar y difundir las correspondientes guas de seguridad de las tecnologas de la informacin y las comunicaciones. Artculo 30. Sistemas de informacin no afectados.
Las Administraciones pblicas podrn determinar aquellos sistemas de informacin a los que no les sea de aplicacin lo dispuesto en el presente de real decreto por tratarse de sistemas no relacionados con el ejercicio de derechos ni con el cumplimiento de deberes por medios electrnicos ni con el acceso por medios electrnicos de los ciudadanos a la informacin y al procedimiento administrativo, de acuerdo con lo previsto en la Ley 11/2007, de 22 de junio. CAPTULO IV Comunicaciones electrnicas Artculo 31. Condiciones tcnicas de seguridad de las comunicaciones electrnicas.
cve: BOE-A-2010-1330
1. Las condiciones tcnicas de seguridad de las comunicaciones electrnicas en lo relativo a la constancia de la transmisin y recepcin, de sus fechas, del contenido integro de las comunicaciones y la identificacin fidedigna del remitente y destinatario de las mismas, segn lo establecido en la Ley 11/2007, de 22 de junio, sern implementadas de acuerdo con lo establecido en el Esquema Nacional de Seguridad. 2. Las comunicaciones realizadas en los trminos indicados en el apartado anterior, tendrn el valor y la eficacia jurdica que corresponda a su respectiva naturaleza, de conformidad con la legislacin que resulte de aplicacin.

Nm. 25 Artculo 32. Viernes 29 de enero de 2010 Requerimientos tcnicos de notificaciones y publicaciones electrnicas. Sec. I. Pg. 8098
1. Las notificaciones y publicaciones electrnicas de resoluciones y actos administrativos se realizarn de forma que cumplan, de acuerdo con lo establecido en el presente real decreto, las siguientes exigencias tcnicas: a) Aseguren la autenticidad del organismo que lo publique. b) Aseguren la integridad de la informacin publicada. c) Dejen constancia de la fecha y hora de la puesta a disposicin del interesado de la resolucin o acto objeto de publicacin o notificacin, as como del acceso a su contenido. d) Aseguren la autenticidad del destinatario de la publicacin o notificacin. Artculo 33. Firma electrnica.
1. Los mecanismos de firma electrnica se aplicarn en los trminos indicados en el Anexo II de esta norma y de acuerdo con lo preceptuado en la poltica de firma electrnica y de certificados, segn se establece en el Esquema Nacional de Interoperabilidad. 2. La poltica de firma electrnica y de certificados concretar los procesos de generacin, validacin y conservacin de firmas electrnicas, as como las caractersticas y requisitos exigibles a los sistemas de firma electrnica, los certificados, los servicios de sellado de tiempo, y otros elementos de soporte de las firmas, sin perjuicio de lo previsto en el Anexo II, que deber adaptarse a cada circunstancia. CAPTULO V Auditora de la seguridad Artculo 34. Auditora de la seguridad.
cve: BOE-A-2010-1330
1. Los sistemas de informacin a los que se refiere el presente real decreto sern objeto de una auditora regular ordinaria, al menos cada dos aos, que verifique el cumplimiento de los requerimientos del presente Esquema Nacional de Seguridad. Con carcter extraordinario, deber realizarse dicha auditora siempre que se produzcan modificaciones sustanciales en el sistema de informacin, que puedan repercutir en las medidas de seguridad requeridas. La realizacin de la auditoria extraordinaria determinar la fecha de cmputo para el clculo de los dos aos, establecidos para la realizacin de la siguiente auditora regular ordinaria, indicados en el prrafo anterior. 2. Esta auditora se realizar en funcin de la categora del sistema, determinada segn lo dispuesto en el anexo I y de acuerdo con lo previsto en el anexo III. 3. En el marco de lo dispuesto en el artculo 39, de la ley 11/2007, de 22 de junio, la auditora profundizar en los detalles del sistema hasta el nivel que considere que proporciona evidencia suficiente y relevante, dentro del alcance establecido para la auditora. 4. En la realizacin de esta auditora se utilizarn los criterios, mtodos de trabajo y de conducta generalmente reconocidos, as como la normalizacin nacional e internacional aplicables a este tipo de auditoras de sistemas de informacin. 5. El informe de auditora deber dictaminar sobre el grado de cumplimiento del presente real decreto, identificar sus deficiencias y sugerir las posibles medidas correctoras o complementarias necesarias, as como las recomendaciones que se consideren oportunas. Deber, igualmente, incluir los criterios metodolgicos de auditora utilizados, el alcance y el objetivo de la auditora, y los datos, hechos y observaciones en que se basen las conclusiones formuladas. 6. Los informes de auditora sern presentados al responsable del sistema y al responsable de seguridad competentes. Estos informes sern analizados por este ltimo que presentar sus conclusiones al responsable del sistema para que adopte las medidas correctoras adecuadas.

Nm. 25 Viernes 29 de enero de 2010 Sec. I. Pg. 8099 7. En el caso de los sistemas de categora ALTA, visto el dictamen de auditora, el responsable del sistema podr acordar la retirada de operacin de alguna informacin, de algn servicio o del sistema en su totalidad, durante el tiempo que estime prudente y hasta la satisfaccin de las modificaciones prescritas. 8. Los informes de auditora podrn ser requeridos por los responsables de cada organizacin con competencias sobre seguridad de las tecnologas de la informacin. CAPITULO VI Estado de seguridad de los sistemas Artculo 35. Informe del estado de la seguridad.
El Comit Sectorial de Administracin Electrnica articular los procedimientos necesarios para conocer regularmente el estado de las principales variables de la seguridad en los sistemas de informacin a los que se refiere el presente real decreto, de forma que permita elaborar un perfil general del estado de la seguridad en las Administraciones pblicas. CAPTULO VII Respuesta a incidentes de seguridad Artculo 36. Capacidad de respuesta a incidentes de seguridad de la informacin.
El Centro Criptolgico Nacional (CCN) articular la respuesta a los incidentes de seguridad en torno a la estructura denominada CCN-CERT (Centro Criptolgico NacionalComputer Emergency Reaction Team), que actuar sin perjuicio de las capacidades de respuesta a incidentes de seguridad que pueda tener cada administracin pblica y de la funcin de coordinacin a nivel nacional e internacional del CCN. Artculo 37. Prestacin de servicios de respuesta a incidentes de seguridad a las Administraciones pblicas. 1. De acuerdo con lo previsto en el artculo 36, el CCN-CERT prestar a las Administraciones pblicas los siguientes servicios: a) Soporte y coordinacin para el tratamiento de vulnerabilidades y la resolucin de incidentes de seguridad que tengan la Administracin General del Estado, las Administraciones de las comunidades autnomas, las entidades que integran la Administracin Local y las Entidades de Derecho pblico con personalidad jurdica propia vinculadas o dependientes de cualquiera de las administraciones indicadas. El CCN-CERT, a travs de su servicio de apoyo tcnico y de coordinacin, actuar con la mxima celeridad ante cualquier agresin recibida en los sistemas de informacin de las Administraciones pblicas. Para el cumplimiento de los fines indicados en los prrafos anteriores se podrn recabar los informes de auditora de los sistemas afectados. b) Investigacin y divulgacin de las mejores prcticas sobre seguridad de la informacin entre todos los miembros de las Administraciones pblicas. Con esta finalidad, las series de documentos CCN-STIC (Centro Criptolgico Nacional-Seguridad de las Tecnologas de Informacin y Comunicaciones), elaboradas por el Centro Criptolgico Nacional, ofrecern normas, instrucciones, guas y recomendaciones para aplicar el Esquema Nacional de Seguridad y para garantizar la seguridad de los sistemas de tecnologas de la informacin en la Administracin. c) Formacin destinada al personal de la Administracin especialista en el campo de la seguridad de las tecnologas de la informacin, al objeto de facilitar la actualizacin de
cve: BOE-A-2010-1330

Nm. 25 Viernes 29 de enero de 2010 Sec. I. Pg. 8100 conocimientos del personal de la Administracin y de lograr la sensibilizacin y mejora de sus capacidades para la deteccin y gestin de incidentes. d) Informacin sobre vulnerabilidades, alertas y avisos de nuevas amenazas a los sistemas de informacin, recopiladas de diversas fuentes de reconocido prestigio, incluidas las propias. 2. El CCN desarrollar un programa que ofrezca la informacin, formacin, recomendaciones y herramientas necesarias para que las Administraciones pblicas puedan desarrollar sus propias capacidades de respuesta a incidentes de seguridad, y en el que, aqul, ser coordinador a nivel pblico estatal. CAPTULO VIII Normas de conformidad Artculo 38. Sedes y registros electrnicos.
La seguridad de las sedes y registros electrnicos, as como la del acceso electrnico de los ciudadanos a los servicios pblicos, se regirn por lo establecido en el Esquema Nacional de Seguridad. Artculo 39. Ciclo de vida de servicios y sistemas.
Las especificaciones de seguridad se incluirn en el ciclo de vida de los servicios y sistemas, acompaadas de los correspondientes procedimientos de control. Artculo 40. Mecanismos de control.
Cada rgano de la Administracin pblica o Entidad de Derecho Pblico establecer sus mecanismos de control para garantizar de forma real y efectiva el cumplimiento del Esquema Nacional de Seguridad. Artculo 41. Publicacin de conformidad.
Los rganos y Entidades de Derecho Pblico darn publicidad en las correspondientes sedes electrnicas a las declaraciones de conformidad, y a los distintivos de seguridad de los que sean acreedores, obtenidos respecto al cumplimiento del Esquema Nacional de Seguridad. CAPTULO IX Actualizacin Artculo 42. Actualizacin permanente.
El Esquema Nacional de Seguridad se deber mantener actualizado de manera permanente. Se desarrollar y perfeccionar a lo largo del tiempo, en paralelo al progreso de los servicios de Administracin electrnica, de la evolucin tecnolgica y nuevos estndares internacionales sobre seguridad y auditora en los sistemas y tecnologas de la informacin y a medida que vayan consolidndose las infraestructuras que le apoyan.
cve: BOE-A-2010-1330

Nm. 25 Viernes 29 de enero de 2010 CAPTULO X Categorizacin de los sistemas de informacin Artculo 43. Categoras. Sec. I. Pg. 8101
1. La categora de un sistema de informacin, en materia de seguridad, modular el equilibrio entre la importancia de la informacin que maneja, los servicios que presta y el esfuerzo de seguridad requerido, en funcin de los riesgos a los que est expuesto, bajo el criterio del principio de proporcionalidad. 2. La determinacin de la categora indicada en el apartado anterior se efectuar en funcin de la valoracin del impacto que tendra un incidente que afectara a la seguridad de la informacin o de los servicios con perjuicio para la disponibilidad, autenticidad, integridad, confidencialidad o trazabilidad, como dimensiones de seguridad, siguiendo el procedimiento establecido en el Anexo I. 3. La valoracin de las consecuencias de un impacto negativo sobre la seguridad de la informacin y de los servicios se efectuar atendiendo a su repercusin en la capacidad de la organizacin para el logro de sus objetivos, la proteccin de sus activos, el cumplimiento de sus obligaciones de servicio, el respeto de la legalidad y los derechos de los ciudadanos. Artculo 44. Facultades.
1. La facultad para efectuar las valoraciones a las que se refiere el artculo 43, as como la modificacin posterior, en su caso, corresponder, dentro del mbito de su actividad, al responsable de cada informacin o servicio. 2. La facultad para determinar la categora del sistema corresponder al responsable del mismo. Disposicin adicional primera. Formacin.
El personal de las Administraciones pblicas recibir, de acuerdo con lo previsto en la disposicin adicional segunda de la Ley 11/2007, de 22 de junio, la formacin necesaria para garantizar el conocimiento del presente Esquema Nacional de Seguridad, a cuyo fin los rganos responsables dispondrn lo necesario para que la formacin sea una realidad efectiva. Disposicin adicional segunda. Instituto Nacional de Tecnologas de la Comunicacin (INTECO) y organismos anlogos. El Instituto Nacional de Tecnologas de la Comunicacin (INTECO), como centro de excelencia promovido por el Ministerio de Industria, Turismo y Comercio para el desarrollo de la sociedad del conocimiento, podr desarrollar proyectos de innovacin y programas de investigacin dirigidos a la mejor implantacin de las medidas de seguridad contempladas en el presente real decreto. Asimismo, las Administraciones pblicas podrn disponer de entidades anlogas para llevar a cabo dichas actividades u otras adicionales en el mbito de sus competencias. Disposicin adicional tercera. Comit de Seguridad de la Informacin de las Administraciones Pblicas. El Comit de Seguridad de la Informacin de las Administraciones Pblicas, dependiente del Comit Sectorial de Administracin electrnica, contar con un representante de cada una de las entidades presentes en dicho Comit Sectorial. Tendr funciones de cooperacin en materias comunes relacionadas con la adecuacin e implantacin de lo previsto en el Esquema Nacional de Seguridad y en las normas, instrucciones, guas y recomendaciones dictadas para su aplicacin.
cve: BOE-A-2010-1330

Nm. 25 Viernes 29 de enero de 2010 Sec. I. Pg. 8102 Disposicin adicional cuarta. Modificacin del Reglamento de desarrollo de la Ley Orgnica 15/1999, de Proteccin de Datos de Carcter Personal, aprobado por el Real Decreto 1720/2007, de 21 de diciembre. Se modifica la letra b) del apartado 5 del artculo 81 del Reglamento de desarrollo de la Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter Personal aprobado por Real Decreto 1720/2007, de 21 de diciembre, que pasa a tener la siguiente redaccin: b) Se trate de ficheros o tratamientos en los que de forma incidental o accesoria se contengan aquellos datos sin guardar relacin con su finalidad. Disposicin transitoria. Adecuacin de sistemas.
1. Los sistemas existentes a la entrada en vigor del presente real decreto se adecuarn al Esquema Nacional de Seguridad de forma que permitan el cumplimiento de lo establecido en la disposicin final tercera de la Ley 11/2007, de 22 de junio. Los nuevos sistemas aplicarn lo establecido en el presente real decreto desde su concepcin. 2. Si a los doce meses de la entrada en vigor del Esquema Nacional de Seguridad hubiera circunstancias que impidan la plena aplicacin de lo exigido en el mismo, se dispondr de un plan de adecuacin que marque los plazos de ejecucin los cuales, en ningn caso, sern superiores a 48 meses desde la entrada en vigor. El plan indicado en el prrafo anterior ser elaborado con la antelacin suficiente y aprobado por los rganos superiores competentes. 3. Mientras no se haya aprobado una poltica de seguridad por el rgano superior competente sern de aplicacin las polticas de seguridad que puedan existir a nivel de rgano directivo. Disposicin derogatoria nica. Quedan derogadas las disposiciones de igual o inferior rango que se opongan a lo dispuesto en el presente reglamento. Disposicin final primera. Ttulo habilitante.
El presente real decreto se dicta en virtud de lo establecido en el artculo 149.1.18. de la Constitucin, que atribuye al Estado la competencia sobre las bases del rgimen jurdico de las Administraciones pblicas. Disposicin final segunda. Desarrollo normativo.
Se autoriza al titular del Ministerio de la Presidencia, para dictar las disposiciones necesarias para la aplicacin y desarrollo de lo establecido en el presente real decreto, sin perjuicio de las competencias de las comunidades autnomas de desarrollo y ejecucin de la legislacin bsica del Estado. Disposicin final tercera. Entrada en vigor.
El presente real decreto entrar en vigor el da siguiente al de su publicacin en el Boletn Oficial del Estado. Dado en Madrid, el 8 de enero de 2010.
cve: BOE-A-2010-1330
JUAN CARLOS R.
La Vicepresidenta Primera del Gobierno y Ministra de la Presidencia, MARA TERESA FERNNDEZ DE LA VEGA SANZ

Nm. 25 Viernes 29 de enero de 2010 ANEXOS ANEXO I Categoras de los sistemas 1. Fundamentos para la determinacin de la categora de un sistema. Sec. I. Pg. 8103
La determinacin de la categora de un sistema se basa en la valoracin del impacto que tendra sobre la organizacin un incidente que afectara a la seguridad de la informacin o de los sistemas, con repercusin en la capacidad organizativa para: a) Alcanzar sus objetivos. b) Proteger los activos a su cargo. c) Cumplir sus obligaciones diarias de servicio. d) Respetar la legalidad vigente. e) Respetar los derechos de las personas. La determinacin de la categora de un sistema se realizar de acuerdo con lo establecido en el presente real decreto, y ser de aplicacin a todos los sistemas empleados para la prestacin de los servicios de la Administracin electrnica y soporte del procedimiento administrativo general. 2. Dimensiones de la seguridad.
A fin de poder determinar el impacto que tendra sobre la organizacin un incidente que afectara a la seguridad de la informacin o de los sistemas, y de poder establecer la categora del sistema, se tendrn en cuenta las siguientes dimensiones de la seguridad, que sern identificadas por sus correspondientes iniciales en maysculas: a) Disponibilidad [D]. b) Autenticidad [A]. c) Integridad [I]. d) Confidencialidad [C]. e) Trazabilidad [T]. 3. Determinacin del nivel requerido en una dimensin de seguridad.
Una informacin o un servicio pueden verse afectados en una o ms de sus dimensiones de seguridad. Cada dimensin de seguridad afectada se adscribir a uno de los siguientes niveles: BAJO, MEDIO o ALTO. Si una dimensin de seguridad no se ve afectada, no se adscribir a ningn nivel. a) Nivel BAJO. Se utilizar cuando las consecuencias de un incidente de seguridad que afecte a alguna de las dimensiones de seguridad supongan un perjuicio limitado sobre las funciones de la organizacin, sobre sus activos o sobre los individuos afectados. Se entender por perjuicio limitado: 1. La reduccin de forma apreciable de la capacidad de la organizacin para atender eficazmente con sus obligaciones corrientes, aunque estas sigan desempendose. 2. El sufrimiento de un dao menor por los activos de la organizacin. 3. El incumplimiento formal de alguna ley o regulacin, que tenga carcter de subsanable. 4. Causar un perjuicio menor a algn individuo, que an siendo molesto pueda ser fcilmente reparable. 5. Otros de naturaleza anloga.
cve: BOE-A-2010-1330

Nm. 25 Viernes 29 de enero de 2010 Sec. I. Pg. 8104 b) Nivel MEDIO. Se utilizar cuando las consecuencias de un incidente de seguridad que afecte a alguna de las dimensiones de seguridad supongan un perjuicio grave sobre las funciones de la organizacin, sobre sus activos o sobre los individuos afectados. Se entender por perjuicio grave: 1. La reduccin significativa la capacidad de la organizacin para atender eficazmente a sus obligaciones fundamentales, aunque estas sigan desempendose. 2. El sufrimiento de un dao significativo por los activos de la organizacin. 3. El incumplimiento material de alguna ley o regulacin, o el incumplimiento formal que no tenga carcter de subsanable. 4. Causar un perjuicio significativo a algn individuo, de difcil reparacin. 5. Otros de naturaleza anloga. c) Nivel ALTO. Se utilizar cuando las consecuencias de un incidente de seguridad que afecte a alguna de las dimensiones de seguridad supongan un perjuicio muy grave sobre las funciones de la organizacin, sobre sus activos o sobre los individuos afectados. Se entender por perjuicio muy grave: 1. La anulacin de la capacidad de la organizacin para atender a alguna de sus obligaciones fundamentales y que stas sigan desempendose. 2. El sufrimiento de un dao muy grave, e incluso irreparable, por los activos de la organizacin. 3. El incumplimiento grave de alguna ley o regulacin. 4. Causar un perjuicio grave a algn individuo, de difcil o imposible reparacin. 5. Otros de naturaleza anloga. Cuando un sistema maneje diferentes informaciones y preste diferentes servicios, el nivel del sistema en cada dimensin ser el mayor de los establecidos para cada informacin y cada servicio. 4. 1. Determinacin de la categora de un sistema de informacin. Se definen tres categoras: BSICA, MEDIA y ALTA.
a) Un sistema de informacin ser de categora ALTA si alguna de sus dimensiones de seguridad alcanza el nivel ALTO. b) Un sistema de informacin ser de categora MEDIA si alguna de sus dimensiones de seguridad alcanza el nivel MEDIO, y ninguna alcanza un nivel superior. c) Un sistema de informacin ser de categora BSICA si alguna de sus dimensiones de seguridad alcanza el nivel BAJO, y ninguna alcanza un nivel superior. 2. La determinacin de la categora de un sistema sobre la base de lo indicado en el apartado anterior no implicar que se altere, por este hecho, el nivel de las dimensiones de seguridad que no han influido en la determinacin de la categora del mismo. 5. Secuencia de actuaciones para determinar la categora de un sistema:
1. Identificacin del nivel correspondiente a cada informacin y servicio, en funcin de las dimensiones de seguridad, teniendo en cuenta lo establecido en el apartado 3. 2. Determinacin de la categora del sistema, segn lo establecido en el apartado 4.
cve: BOE-A-2010-1330

Nm. 25 Viernes 29 de enero de 2010 ANEXO II Medidas de seguridad 1. Disposiciones generales 1. Para lograr el cumplimiento de los principios bsicos y requisitos mnimos establecidos, se aplicarn las medidas de seguridad indicadas en este anexo, las cuales sern proporcionales a: a) b) 2. Las dimensiones de seguridad relevantes en el sistema a proteger. La categora del sistema de informacin a proteger. Las medidas de seguridad se dividen en tres grupos: Sec. I. Pg. 8105
a) Marco organizativo [org]. Constituido por el conjunto de medidas relacionadas con la organizacin global de la seguridad. b) Marco operacional [op]. Formado por las medidas a tomar para proteger la operacin del sistema como conjunto integral de componentes para un fin. c) Medidas de proteccin [mp]. Se centran en proteger activos concretos, segn su naturaleza y la calidad exigida por el nivel de seguridad de las dimensiones afectadas. 2. Seleccin de medidas de seguridad 1. a) Para la seleccin de las medidas de seguridad se seguirn los pasos siguientes: Identificacin de los tipos de activos presentes.
b) Determinacin de las dimensiones de seguridad relevantes, teniendo en cuenta lo establecido en el anexo I. c) Determinacin del nivel correspondiente a cada dimensin de seguridad, teniendo en cuenta lo establecido en el anexo I. d) Determinacin de la categora del sistema, segn lo establecido en el Anexo I. e) Seleccin de las medidas de seguridad apropiadas de entre las contenidas en este Anexo, de acuerdo con las dimensiones de seguridad y sus niveles, y, para determinadas medidas de seguridad, de acuerdo con la categora del sistema. 2. A los efectos de facilitar el cumplimiento de lo dispuesto en este anexo, cuando en un sistema de informacin existan sistemas que requieran la aplicacin de un nivel de medidas de seguridad diferente al del sistema principal, podrn segregarse de este ltimo, siendo de aplicacin en cada caso el nivel de medidas de seguridad correspondiente y siempre que puedan delimitarse la informacin y los servicios afectados. 3. La relacin de medidas seleccionadas se formalizar en un documento denominado Declaracin de Aplicabilidad, firmado por el responsable de la seguridad del sistema. 4. La correspondencia entre los niveles de seguridad exigidos en cada dimensin y las medidas de seguridad, es la que se indica en la tabla siguiente:
Dimensiones Afectadas B M A MEDIDAS DE SEGURIDAD
categora categora
n.a. aplica
+ =
++ =
op op.pl op.pl.1 op.pl.2
Marco operacional Planificacin Anlisis de riesgos Arquitectura de seguridad
cve: BOE-A-2010-1330
categora categora categora categora
aplica aplica aplica aplica
= = = =
= = = =
org org.1 org.2 org.3 org.4
Marco organizativo Poltica de seguridad Normativa de seguridad Procedimientos de seguridad Proceso de autorizacin

categora D categora AT I CAT I CAT I CAT I CAT I CAT I CAT categora categora categora categora categora categora categora T categora T categora categora categora D D D D categora categora aplica n.a. n.a. aplica aplica n.a. aplica aplica aplica aplica aplica aplica n.a. aplica n.a. aplica n.a. n.a. n.a. n.a. aplica n.a. n.a. n.a. n.a. n.a. n.a. n.a. n.a. = aplica n.a. = = aplica = + + + = = aplica = aplica = aplica n.a. aplica n.a. = aplica aplica n.a. aplica n.a. n.a. n.a. n.a. = = aplica = = = = ++ ++ = = = = = = = = aplica = aplica + = = aplica = aplica aplica aplica aplica op.pl.3 op.pl.4 op.pl.5 op.acc op.acc.1 op.acc.2 op.acc.3 op.acc.4 op.acc.5 op.acc.6 op.acc.7 op.exp op.exp.1 op.exp.2 op.exp.3 op.exp.4 op.exp.5 op.exp.6 op.exp.7 op.exp.8 op.exp.9 op.exp.10 op.exp.11 op.ext op.ext.1 op.ext.2 op.ext.9 op.cont op.cont.1 op.cont.2 op.cont.3 op.mon op.mon.1 op.mon.2 mp mp.if mp.if.1 mp.if.2 mp.if.3 mp.if.4 mp.if.5 mp.if.6 mp.if.7 mp.if.9 mp.per mp.per.1 mp.per.2 mp.per.3 mp.per.4 mp.per.9 mp.eq mp.eq.1 Adquisicin de nuevos componentes Dimensionamiento / Gestin de capacidades Componentes certificados Control de acceso Identificacin Requisitos de acceso Segregacin de funciones y tareas Proceso de gestin de derechos de acceso Mecanismo de autenticacin Acceso local (local logon) Acceso remoto (remote login) Explotacin Inventario de activos Configuracin de seguridad Gestin de la configuracin Mantenimiento Gestin de cambios Proteccin frente a cdigo daino Gestin de incidencias Registro de la actividad de los usuarios Registro de la gestin de incidencias Proteccin de los registros de actividad Proteccin de claves criptogrficas Servicios externos Contratacin y acuerdos de nivel de servicio Gestin diaria Medios alternativos Continuidad del servicio Anlisis de impacto Plan de continuidad Pruebas peridicas Monitorizacin del sistema Deteccin de intrusin Sistema de mtricas Medidas de proteccin Proteccin de las instalaciones e infraestructuras reas separadas y con control de acceso Identificacin de las personas Acondicionamiento de los locales Energa elctrica Proteccin frente a incendios Proteccin frente a inundaciones Registro de entrada y salida de equipamiento Instalaciones alternativas Gestin del personal Caracterizacin del puesto de trabajo Deberes y obligaciones Concienciacin Formacin Personal alternativo Proteccin de los equipos Puesto de trabajo despejado
categora categora categora D D D categora D categora categora categora categora D categora
aplica aplica aplica aplica aplica n.a. aplica n.a. n.a. aplica aplica aplica n.a. aplica
= = = + = aplica = n.a. aplica = = = n.a. +
= = = = = = = aplica = = = = aplica =
cve: BOE-A-2010-1330

A categora D categora C IA categora D C IC categora categora C categora categora categora C C IA T C D categora categora D D n.a. aplica n.a. aplica n.a. aplica n.a. n.a. aplica n.a. aplica aplica n.a. n.a. aplica aplica aplica n.a. aplica n.a. aplica n.a. aplica aplica n.a. n.a. aplica = aplica = aplica + n.a. n.a. = aplica = = aplica aplica + = + n.a. + n.a. = aplica = = aplica n.a. + + = + + ++ aplica aplica = + = = = = ++ = = aplica ++ aplica = = = = + aplica mp.eq.2 mp.eq.3 mp.eq.9 mp.com mp.com.1 mp.com.2 mp.com.3 mp.com.4 mp.com.9 mp.si mp.si.1 mp.si.2 mp.si.3 mp.si.4 mp.si.5 mp.sw mp.sw.1 mp.sw.2 mp.info mp.info.1 mp.info.2 mp.info.3 mp.info.4 mp.info.5 mp.info.6 mp.info.9 mp.s mp.s.1 mp.s.2 mp.s.8 mp.s.9 Bloqueo de puesto de trabajo Proteccin de equipos porttiles Medios alternativos Proteccin de las comunicaciones Permetro seguro Proteccin de la confidencialidad Proteccin de la autenticidad y de la integridad Segregacin de redes Medios alternativos Proteccin de los soportes de informacin Etiquetado Criptografa Custodia Transporte Borrado y destruccin Proteccin de las aplicaciones informticas Desarrollo Aceptacin y puesta en servicio Proteccin de la informacin Datos de carcter personal Calificacin de la informacin Cifrado Firma electrnica Sellos de tiempo Limpieza de documentos Copias de seguridad (backup) Proteccin de los servicios Proteccin del correo electrnico Proteccin de servicios y aplicaciones web Proteccin frente a la denegacin de servicio Medios alternativos
En las tablas del presente Anexo se emplean las siguientes convenciones: a) Para indicar que una determinada medida de seguridad se debe aplicar a una o varias dimensiones de seguridad en algn nivel determinado se utiliza la voz aplica. b) n.a. significa no aplica. c) Para indicar que las exigencias de un nivel son iguales a los del nivel inferior se utiliza el signo =. d) Para indicar el incremento de exigencias graduado en funcin de del nivel de la dimensin de seguridad, se utilizan los signos + y ++. e) Para indicar que una medida protege especficamente una cierta dimensin de seguridad, sta se explicita mediante su inicial. 3. Marco organizativo [org] El marco organizativo est constituido por un conjunto de medidas relacionadas con la organizacin global de la seguridad.
cve: BOE-A-2010-1330
3.1
Poltica de seguridad [org.1].

Todas bsica aplica media = alta =
dimensiones categora

Nm. 25 Viernes 29 de enero de 2010 Sec. I. Pg. 8108 La poltica de seguridad ser aprobada por el rgano superior competente que corresponda, de acuerdo con lo establecido en el artculo 11, y se plasmar en un documento escrito, en el que, de forma clara, se precise, al menos, lo siguiente: a) Los objetivos o misin de la organizacin. b) El marco legal y regulatorio en el que se desarrollarn las actividades. c) Los roles o funciones de seguridad, definiendo para cada uno, los deberes y responsabilidades del cargo, as como el procedimiento para su designacin y renovacin. d) La estructura del comit o los comits para la gestin y coordinacin de la seguridad, detallando su mbito de responsabilidad, los miembros y la relacin con otros elementos de la organizacin. e) Las directrices para la estructuracin de la documentacin de seguridad del sistema, su gestin y acceso. La poltica de seguridad debe referenciar y ser coherente con lo establecido en el Documento de Seguridad que exige el Real Decreto 1720/2007, en lo que corresponda. 3.2 Normativa de seguridad [org.2].
Se dispondr de una serie de documentos que describan: a) El uso correcto de equipos, servicios e instalaciones. b) Lo que se considerar uso indebido. c) La responsabilidad del personal con respecto al cumplimiento o violacin de estas normas: derechos, deberes y medidas disciplinarias de acuerdo con la legislacin vigente. 3.3 Procedimientos de seguridad [org.3].
Se dispondr de una serie de documentos que detallen de forma clara y precisa: a) Cmo llevar a cabo las tareas habituales. b) Quin debe hacer cada tarea. c) Cmo identificar y reportar comportamientos anmalos. 3.4 Proceso de autorizacin [org.4].
cve: BOE-A-2010-1330
Se establecer un proceso formal de autorizaciones que cubra todos los elementos del sistema de informacin: a) Utilizacin de instalaciones, habituales y alternativas. b) Entrada de equipos en produccin, en particular, equipos que involucren criptografa.

Nm. 25 Viernes 29 de enero de 2010 Sec. I. Pg. 8109 c) Entrada de aplicaciones en produccin. d) Establecimiento de enlaces de comunicaciones con otros sistemas. e) Utilizacin de medios de comunicacin, habituales y alternativos. f) Utilizacin de soportes de informacin. g) Utilizacin de equipos mviles. Se entender por equipos mviles ordenadores porttiles, PDA, u otros de naturaleza anloga. 4. Marco operacional [op] El marco operacional est constituido por las medidas a tomar para proteger la operacin del sistema como conjunto integral de componentes para un fin. 4.1 Planificacin [op.pl]. 4.1.1 Anlisis de riesgos [op.pl.1].
dimensiones categora Todas bsica aplica media + alta ++
Categora BSICA Bastar un anlisis informal, realizado en lenguaje natural. Es decir, una exposicin textual que describa los siguientes aspectos: a) Identifique los activos ms valiosos del sistema. b) Identifique las amenazas ms probables. c) Identifique las salvaguardas que protegen de dichas amenazas. d) Identifique los principales riesgos residuales. Categora MEDIA Se deber realizar un anlisis semi-formal, usando un lenguaje especfico, con un catlogo bsico de amenazas y una semntica definida. Es decir, una presentacin con tablas que describa los siguientes aspectos: a) Identifique y valore cualitativamente los activos ms valiosos del sistema. b) Identifique y cuantifique las amenazas ms probables. c) Identifique y valore las salvaguardas que protegen de dichas amenazas. d) Identifique y valore el riesgo residual. Categora ALTA Se deber realizar un anlisis formal, usando un lenguaje especfico, con un fundamento matemtico reconocido internacionalmente. El anlisis deber cubrir los siguientes aspectos: a) b) c) d) e) Identifique y valore cualitativamente los activos ms valiosos del sistema. Identifique y cuantifique las amenazas posibles. Identifique las vulnerabilidades habilitantes de dichas amenazas. Identifique y valore las salvaguardas adecuadas. Identifique y valore el riesgo residual.
cve: BOE-A-2010-1330
4.1.2 Arquitectura de seguridad [op.pl.2].

dimensiones categora todas bsica aplica media = alta =

Nm. 25 Viernes 29 de enero de 2010 Sec. I. Pg. 8110 La seguridad del sistema ser objeto de un planteamiento integral detallando, al menos, los siguientes aspectos: a) 1. 2. b) 1. 2. 3. c) Documentacin de las instalaciones: reas. Puntos de acceso. Documentacin del sistema: Equipos. Redes internas y conexiones al exterior. Puntos de acceso al sistema (puestos de trabajo y consolas de administracin). Esquema de lneas de defensa:
1. Puntos de interconexin a otros sistemas o a otras redes, en especial si se trata de Internet. 2. Cortafuegos, DMZ, etc. 3. Utilizacin de tecnologas diferentes para prevenir vulnerabilidades que pudieran perforar simultneamente varias lneas de defensa. d) Sistema de identificacin y autenticacin de usuarios:
1. Uso de claves concertadas, contraseas, tarjetas de identificacin, biometra, u otras de naturaleza anloga. 2. Uso de ficheros o directorios para autenticar al usuario y determinar sus derechos de acceso. e) 1. f) Controles tcnicos internos: Validacin de datos de entrada, salida y datos intermedios. Sistema de gestin con actualizacin y aprobacin peridica.
4.1.3 Adquisicin de nuevos componentes [op.pl.3].

Se establecer un proceso formal para planificar la adquisicin de nuevos componentes del sistema, proceso que: a) Atender a las conclusiones del anlisis de riesgos: [op.pl.1]. b) Ser acorde a la arquitectura de seguridad escogida: [op.pl.2]. c) Contemplar las necesidades tcnicas, de formacin y de financiacin de forma conjunta. 4.1.4 Dimensionamiento / gestin de capacidades [op.pl.4].
D bajo no aplica medio aplica alto =
cve: BOE-A-2010-1330
dimensiones nivel
Con carcter previo a la puesta en explotacin, se realizar un estudio previo que cubrir los siguientes aspectos:

Nm. 25 Viernes 29 de enero de 2010 Sec. I. Pg. 8111 a) Necesidades de procesamiento. b) Necesidades de almacenamiento de informacin: durante su procesamiento y durante el periodo que deba retenerse. d) Necesidades de comunicacin. e) Necesidades de personal: cantidad y cualificacin profesional. f) Necesidades de instalaciones y medios auxiliares. 4.1.5 Componentes certificados [op.pl.5].
todas bsica no aplica media no aplica alta aplica
Se utilizarn preferentemente sistemas, productos o equipos cuyas funcionalidades de seguridad y su nivel hayan sido evaluados conforme a normas europeas o internacionales y que estn certificados por entidades independientes de reconocida solvencia. Tendrn la consideracin de normas europeas o internacionales, ISO/IEC 15408 u otras de naturaleza y calidad anlogas. Tendrn la consideracin de entidades independientes de reconocida solvencia las recogidas en los acuerdos o arreglos internacionales de reconocimiento mutuo de los certificados de la seguridad de la tecnologa de la informacin u otras de naturaleza anloga. 4.2 Control de acceso. [op.acc]. El control de acceso cubre el conjunto de actividades preparatorias y ejecutivas para que una determinada entidad, usuario o proceso, pueda, o no, acceder a un recurso del sistema para realizar una determinada accin. El control de acceso que se implante en un sistema real ser un punto de equilibrio entre la comodidad de uso y la proteccin de la informacin. En sistemas de nivel Bajo, se primar la comodidad, mientras que en sistemas de nivel Alto se primar la proteccin. En todo control de acceso se requerir lo siguiente: a) Que todo acceso est prohibido, salvo concesin expresa. b) Que la entidad quede identificada singularmente [op.acc.1]. c) Que la utilizacin de los recursos est protegida [op.acc.2]. d) Que se definan para cada entidad los siguientes parmetros: a qu se necesita acceder, con qu derechos y bajo qu autorizacin [op.acc.4]. e) Sern diferentes las personas que autorizan, usan y controlan el uso [op.acc.3]. f) Que la identidad de la entidad quede suficientemente autenticada [mp.acc.5]. g) Que se controle tanto el acceso local ([op.acc.6]) como el acceso remoto ([op.acc.7]). Con el cumplimiento de todas las medidas indicadas se garantizar que nadie acceder a recursos sin autorizacin. Adems, quedar registrado el uso del sistema ([op.exp.8]) para poder detectar y reaccionar a cualquier fallo accidental o deliberado. Cuando se interconecten sistemas en los que la identificacin, autenticacin y autorizacin tengan lugar en diferentes dominios de seguridad, bajo distintas responsabilidades, en los casos en que sea necesario, las medidas de seguridad locales se acompaarn de los correspondientes acuerdos de colaboracin que delimiten mecanismos y procedimientos para la atribucin y ejercicio efectivos de las responsabilidades de cada sistema ([op.ext]).
cve: BOE-A-2010-1330
4.2.1
Identificacin [op.acc.1].
AT bajo aplica medio = alto =
dimensiones nivel

Nm. 25 Viernes 29 de enero de 2010 Sec. I. Pg. 8112 La identificacin de los usuarios del sistema se realizar de acuerdo con lo que se indica a continuacin: a) Se asignar un identificador singular para cada entidad (usuario o proceso) que accede al sistema, de tal forma que: 1. 2. b) Se puede saber quin recibe y qu derechos de acceso recibe. Se puede saber quin ha hecho algo y qu ha hecho. Las cuentas de usuario se gestionarn de la siguiente forma:
1. Cada cuenta estar asociada a un identificador nico. 2. Las cuentas deben ser inhabilitadas en los siguientes casos: cuando el usuario deja la organizacin; cuando el usuario cesa en la funcin para la cual se requera la cuenta de usuario; o, cuando la persona que la autoriz, da orden en sentido contrario. 3. Las cuentas se retendrn durante el periodo necesario para atender a las necesidades de trazabilidad de los registros de actividad asociados a las mismas. A este periodo se le denominar periodo de retencin. 4.2.2 Requisitos de acceso [op.acc.2].
I CAT bajo aplica medio = alto =
dimensiones nivel
Los requisitos de acceso se atendern a lo que a continuacin se indica: a) Los recursos del sistema se protegern con algn mecanismo que impida su utilizacin, salvo a las entidades que disfruten de derechos de acceso suficientes. b) Los derechos de acceso de cada recurso, se establecern segn las decisiones de la persona responsable del recurso, atenindose a la poltica y normativa de seguridad del sistema. c) Particularmente se controlar el acceso a los componentes del sistema y a sus ficheros o registros de configuracin. 4.2.3 Segregacin de funciones y tareas [op.acc.3].
I CAT bajo no aplica medio aplica alto =
dimensiones nivel
El sistema de control de acceso se organizar de forma que se exija la concurrencia de dos o ms personas para realizar tareas crticas, anulando la posibilidad de que un solo individuo autorizado, pueda abusar de sus derechos para cometer alguna accin ilcita. En concreto, se separarn al menos las siguientes funciones: a) Desarrollo de operacin. b) Configuracin y mantenimiento del sistema de operacin. c) Auditora o supervisin de cualquier otra funcin.
cve: BOE-A-2010-1330
4.2.4
Proceso de gestin de derechos de acceso [op.acc.4].

I CAT bajo aplica medio = alto =
dimensiones nivel

Nm. 25 Viernes 29 de enero de 2010 Sec. I. Pg. 8113 Los derechos de acceso de cada usuario, se limitarn atendiendo a los siguientes principios: a) Mnimo privilegio. Los privilegios de cada usuario se reducirn al mnimo estrictamente necesario para cumplir sus obligaciones. De esta forma se acotan los daos que pudiera causar una entidad, de forma accidental o intencionada. b) Necesidad de conocer. Los privilegios se limitarn de forma que los usuarios slo accedern al conocimiento de aquella informacin requerida para cumplir sus obligaciones. c) Capacidad de autorizar. Slo y exclusivamente el personal con competencia para ello, podr conceder, alterar o anular la autorizacin de acceso a los recursos, conforme a los criterios establecidos por su propietario. 4.2.5 Mecanismo de autenticacin [op.acc.5].
I CAT bajo aplica medio + alto ++
dimensiones nivel
Los mecanismos de autenticacin frente al sistema se adecuarn al nivel del sistema atendiendo a las consideraciones que siguen. Las guas CCN-STIC desarrollarn los mecanismos concretos adecuados a cada nivel. Nivel BAJO a) Se admitir el uso de cualquier mecanismo de autenticacin: claves concertadas, o dispositivos fsicos (en expresin inglesa tokens) o componentes lgicos tales como certificados software u otros equivalentes o mecanismos biomtricos. b) En el caso de usar contraseas se aplicarn reglas bsicas de calidad de las mismas. c) Se atender a la seguridad de los autenticadores de forma que: 1. Los autenticadores se activarn una vez estn bajo el control efectivo del usuario. 2. Los autenticadores estarn bajo el control exclusivo del usuario. 3. El usuario reconocer que los ha recibido y que conoce y acepta las obligaciones que implica su tenencia, en particular el deber de custodia diligente, proteccin de su confidencialidad e informacin inmediata en caso de prdida. 4. Los autenticadores se cambiarn con una periodicidad marcada por la poltica de la organizacin, atendiendo a la categora del sistema al que se accede. 5. Los autenticadores se retirarn y sern deshabilitados cuando la entidad (persona, equipo o proceso) que autentican termina su relacin con el sistema. Nivel MEDIO a) No se recomendar el uso de claves concertadas. b) Se recomendar el uso de otro tipo de mecanismos del tipo dispositivos fsicos (tokens) o componentes lgicos tales como certificados software u otros equivalentes o biomtricos. c) En el caso de usar contraseas se aplicarn polticas rigurosas de calidad de la contrasea y renovacin frecuente. Nivel ALTO a) b) Los autenticadores se suspendern tras un periodo definido de no utilizacin. No se admitir el uso de claves concertadas.
cve: BOE-A-2010-1330

Nm. 25 Viernes 29 de enero de 2010 Sec. I. Pg. 8114 c) Se exigir el uso de dispositivos fsicos (tokens) personalizados o biometra. d) En el caso de utilizacin de dispositivos fsicos (tokens) se emplearn algoritmos acreditados por el Centro Criptolgico Nacional. e) Se emplearn, preferentemente, productos certificados [op.pl.5]. Tabla resumen de mecanismos de autenticacin admisibles
Nivel BAJO MEDIO ALTO
algo que se sabe algo que se tiene algo que se es
claves concertadas Tokens Biometra
s si s
Con cautela s s
no criptogrficos + doble factor
4.2.6 Acceso local [op.acc.6].

dimensiones nivel I CAT bajo aplica medio + alto ++
Se considera acceso local al realizado desde puestos de trabajo dentro de las propias instalaciones de la organizacin. Estos accesos tendrn en cuenta el nivel de las dimensiones de seguridad: Nivel BAJO a) Se prevendrn ataques que puedan revelar informacin del sistema sin llegar a acceder al mismo. La informacin revelada a quien intenta acceder, debe ser la mnima imprescindible (los dilogos de acceso proporcionarn solamente la informacin indispensable). b) El nmero de intentos permitidos ser limitado, bloqueando la oportunidad de acceso una vez efectuados un cierto nmero de fallos consecutivos. c) Se registrarn los accesos con xito, y los fallidos. d) El sistema informar al usuario de sus obligaciones inmediatamente despus de obtener el acceso. Nivel MEDIO Se informar al usuario del ltimo acceso efectuado con su identidad. Nivel ALTO a) El acceso estar limitado por horario, fechas y lugar desde donde se accede. b) Se definirn aquellos puntos en los que el sistema requerir una renovacin de la autenticacin del usuario, mediante identificacin singular, no bastando con la sesin establecida. 4.2.7 Acceso remoto [op.acc.7].
cve: BOE-A-2010-1330
dimensiones nivel
I CAT bajo aplica medio + alto =

Nm. 25 Viernes 29 de enero de 2010 Sec. I. Pg. 8115 Se considera acceso remoto al realizado desde fuera de las propias instalaciones de la organizacin, a travs de redes de terceros. Se garantizar la seguridad del sistema cuando accedan remotamente usuarios u otras entidades, lo que implicar proteger tanto el acceso en s mismo (como [op.acc.6]) como el canal de acceso remoto (como en [mp.com.2] y [mp.com.3]). Nivel MEDIO Se establecer una poltica especfica de lo que puede hacerse remotamente, requirindose autorizacin positiva. 4.3 4.3.1 Explotacin [op.exp]. Inventario de activos [op.exp.1].
Se mantendr un inventario actualizado de todos los elementos del sistema, detallando su naturaleza e identificando a su propietario; es decir, la persona que es responsable de las decisiones relativas al mismo. 4.3.2 Configuracin de seguridad [op.exp.2].
Se configurarn los equipos previamente a su entrada en operacin, de forma que: a) b) Se retiren cuentas y contraseas estndar. Se aplicar la regla de mnima funcionalidad:
1. El sistema debe proporcionar la funcionalidad requerida para que la organizacin alcance sus objetivos y ninguna otra funcionalidad, 2. No proporcionar funciones gratuitas, ni de operacin, ni de administracin, ni de auditora, reduciendo de esta forma su permetro al mnimo imprescindible. 3. Se eliminar o desactivar mediante el control de la configuracin, aquellas funciones que no sean de inters, no sean necesarias, e incluso, aquellas que sean inadecuadas al fin que se persigue. c) Se aplicar la regla de seguridad por defecto:
1. Las medidas de seguridad sern respetuosas con el usuario y protegern a ste, salvo que se exponga conscientemente a un riesgo. 2. Para reducir la seguridad, el usuario tiene que realizar acciones conscientes. 3. El uso natural, en los casos que el usuario no ha consultado el manual, ser un uso seguro.
cve: BOE-A-2010-1330
4.3.3
Gestin de la configuracin [op.exp.3].

todas bsica no aplica media aplica alta =

Nm. 25 Viernes 29 de enero de 2010 Sec. I. Pg. 8116 Se gestionar de forma continua la configuracin de los componentes del sistema de forma que: a) Se mantenga en todo momento la regla de funcionalidad mnima ([op.exp.2]). b) Se mantenga en todo momento la regla de seguridad por defecto ([op.exp.2]). c) El sistema se adapte a las nuevas necesidades, previamente autorizadas ([op. acc.4]). d) El sistema reaccione a vulnerabilidades reportadas ([op.exp.4]). e) El sistema reaccione a incidencias (ver [op.exp.7]). 4.3.4 Mantenimiento [op.exp.4].
todas bsica aplica media = alta =
Para mantener el equipamiento fsico y lgico que constituye el sistema, se aplicar lo siguiente: a) Se atender a las especificaciones de los fabricantes en lo relativo a instalacin y mantenimiento de los sistemas. b) Se efectuar un seguimiento continuo de los anuncios de defectos. c) Se dispondr de un procedimiento para analizar, priorizar y determinar cundo aplicar las actualizaciones de seguridad, parches, mejoras y nuevas versiones. La priorizacin tendr en cuenta la variacin del riesgo en funcin de la aplicacin o no de la actualizacin. 4.3.5 Gestin de cambios [op.exp.5].
Se mantendr un control continuo de cambios realizados en el sistema, de forma que: a) Todos los cambios anunciados por el fabricante o proveedor sern analizados para determinar su conveniencia para ser incorporados, o no. b) Antes de poner en produccin una nueva versin o una versin parcheada, se comprobar en un equipo que no est en produccin, que la nueva instalacin funciona correctamente y no disminuye la eficacia de las funciones necesarias para el trabajo diario. El equipo de pruebas ser equivalente al de produccin en los aspectos que se comprueban. c) Los cambios se planificarn para reducir el impacto sobre la prestacin de los servicios afectados. d) Mediante anlisis de riesgos se determinar si los cambios son relevantes para la seguridad del sistema. Aquellos cambios que impliquen una situacin de riesgo de nivel alto sern aprobados explcitamente de forma previa a su implantacin.
cve: BOE-A-2010-1330
4.3.6
Proteccin frente a cdigo daino [op.exp.6].


Nm. 25 Viernes 29 de enero de 2010 Sec. I. Pg. 8117 Se considera cdigo daino: los virus, los gusanos, los troyanos, los programas espas, conocidos en terminologa inglesa como spyware, y en general, todo lo conocido como malware. Se dispondr de mecanismos de prevencin y reaccin frente a cdigo daino con mantenimiento de acuerdo a las recomendaciones del fabricante. 4.3.7 Gestin de incidencias [op.exp.7].
Se dispondr de un proceso integral para hacer frente a los incidentes que puedan tener un impacto en la seguridad del sistema, incluyendo: a) Procedimiento de reporte de incidentes reales o sospechosos, detallando el escalado de la notificacin. b) Procedimiento de toma de medidas urgentes, incluyendo la detencin de servicios, el aislamiento del sistema afectado, la recogida de evidencias y proteccin de los registros, segn convenga al caso. c) Procedimiento de asignacin de recursos para investigar las causas, analizar las consecuencias y resolver el incidente. d) Procedimientos para informar a las partes interesadas, internas y externas. e) Procedimientos para: 1. Prevenir que se repita el incidente. 2. Incluir en los procedimientos de usuario la identificacin y forma de tratar el incidente. 3. Actualizar, extender, mejorar u optimizar los procedimientos de resolucin de incidencias. La gestin de incidentes que afecten a datos de carcter personal tendr en cuenta lo dispuesto en el Real Decreto 1720 de 2007, en lo que corresponda. 4.3.8 Registro de la actividad de los usuarios [op.exp.8].
T bajo no aplica medio no aplica alto aplica
dimensiones nivel
Se registrarn todas las actividades de los usuarios en el sistema, de forma que: a) El registro indicar quin realiza la actividad, cuando la realiza y sobre qu informacin. b) Se incluir la actividad de los usuarios y, especialmente, la de los operadores y administradores del sistema en cuanto pueden acceder a la configuracin y actuar en el mantenimiento del mismo. c) Deben registrarse las actividades realizadas con xito y los intentos fracasados. d) La determinacin de qu actividades debe en registrarse y con qu niveles de detalle se determinar a la vista del anlisis de riesgos realizado sobre el sistema ([op.pl.1]).
cve: BOE-A-2010-1330
4.3.9
Registro de la gestin de incidencias [op.exp.9].


Nm. 25 Viernes 29 de enero de 2010 Sec. I. Pg. 8118 Se registrarn todas las actuaciones relacionadas con la gestin de incidencias, de forma que: a) Se registrar el reporte inicial, las actuaciones de emergencia y las modificaciones del sistema derivadas del incidente. b) Se registrar aquella evidencia que pueda, posteriormente, sustentar una demanda judicial, o hacer frente a ella, cuando el incidente pueda llevar a actuaciones disciplinarias sobre el personal interno, sobre proveedores externos o a la persecucin de delitos. En la determinacin de la composicin y detalle de estas evidencias, se recurrir a asesoramiento legal especializado. c) Como consecuencia del anlisis de las incidencias, se revisar la determinacin de los eventos auditables. 4.3.10 Proteccin de los registros de actividad [op.exp.10].
dimensiones nivel
Se protegern los registros del sistema, de forma que: a) Se determinar el periodo de retencin de los registros. b) Se asegurar la fecha y hora. Ver [mp.info.5]. c) Los registros no podrn ser modificados ni eliminados por personal no autorizado. d) Las copias de seguridad, si existen, se ajustarn a los mismos requisitos. 4.3.11 Proteccin de claves criptogrficas [op.exp.11].
todas bsica aplica media = alta +
Las claves criptogrficas se protegern durante todo su ciclo de vida: (1) generacin, (2) transporte al punto de explotacin, (3) custodia durante la explotacin, (4) archivo posterior a su retirada de explotacin activa y (5) destruccin final. Categora BSICA a) Los medios de generacin estarn aislados de los medios de explotacin. b) Las claves retiradas de operacin que deban ser archivadas, lo sern en medios aislados de los de explotacin. Categora MEDIA a) b) 4.4 Se usarn programas evaluados o dispositivos criptogrficos certificados. Se emplearn algoritmos acreditados por el Centro Criptolgico Nacional. Servicios externos [op.ext].
Cuando se utilicen recursos externos a la organizacin, sean servicios, equipos, instalaciones o personal, deber tenerse en cuenta que la delegacin se limita a las funciones. La organizacin sigue siendo en todo momento responsable de los riesgos en que se incurre en la medida en que impacten sobre la informacin manejada y los servicios finales prestados por la organizacin. La organizacin dispondr las medidas necesarias para poder ejercer su responsabilidad y mantener el control en todo momento.
cve: BOE-A-2010-1330

Nm. 25 4.4.1 Viernes 29 de enero de 2010 Contratacin y acuerdos de nivel de servicio [op.ext.1].
Sec. I. Pg. 8119
Previa a la utilizacin de recursos externos se establecern contractualmente las caractersticas del servicio prestado y las responsabilidades de las partes. Se detallar lo que se considera calidad mnima del servicio prestado y las consecuencias de su incumplimiento. 4.4.2 Gestin diaria [op.ext.2].
Para la gestin diaria del sistema, se establecern los siguientes puntos: a) Un sistema rutinario para medir el cumplimiento de las obligaciones de servicio y el procedimiento para neutralizar cualquier desviacin fuera del margen de tolerancia acordado ([op.ext.1]). b) El mecanismo y los procedimientos de coordinacin para llevar a cabo las tareas de mantenimiento de los sistemas afectados por el acuerdo. c) El mecanismo y los procedimientos de coordinacin en caso de incidencias y desastres (ver [op.exp.7]). 4.4.3 Medios alternativos [op.ext.9].
D bajo no aplica medio no aplica alto aplica
dimensiones nivel
Estar prevista la provisin del servicio por medios alternativos en caso de indisponibilidad del servicio contratado. El servicio alternativo disfrutar de las mismas garantas de seguridad que el servicio habitual. 4.5 Continuidad del servicio [op.cont].
4.5.1 Anlisis de impacto [op.cont.1].

dimensiones nivel D bajo no aplica medio aplica alto =
cve: BOE-A-2010-1330
Se realizar un anlisis de impacto que permita determinar: a) Los requisitos de disponibilidad de cada servicio medidos como el impacto de una interrupcin durante un cierto periodo de tiempo. b) Los elementos que son crticos para la prestacin de cada servicio.

Nm. 25 4.5.2 Viernes 29 de enero de 2010 Plan de continuidad [op.cont.2].
Sec. I. Pg. 8120
dimensiones nivel
Se desarrollar un plan de continuidad que establezca las acciones a ejecutar en caso de interrupcin de los servicios prestados con los medios habituales. Este plan contemplar los siguientes aspectos: a) Se identificarn funciones, responsabilidades y actividades a realizar. b) Existir una previsin de los medios alternativos que se va a conjugar para poder seguir prestando los servicios. c) Todos los medios alternativos estarn planificados y materializados en acuerdos o contratos con los proveedores correspondientes. d) Las personas afectadas por el plan recibirn formacin especfica relativa a su papel en dicho plan. e) El plan de continuidad ser parte integral y armnica de los planes de continuidad de la organizacin en otras materias ajenas a la seguridad. 4.5.3 Pruebas peridicas [op.cont.3].
dimensiones nivel
Se realizarn pruebas peridicas para localizar y, corregir en su caso, los errores o deficiencias que puedan existir en el plan de continuidad 4.6 Monitorizacin del sistema [op.mon].
El sistema estar sujeto a medidas de monitorizacin de su actividad. 4.6.1 Deteccin de intrusin [op.mon.1].
Se dispondrn de herramientas de deteccin o de prevencin de intrusin. 4.6.2 Sistema de mtricas [op.mon.2].

cve: BOE-A-2010-1330
Se establecer un conjunto de indicadores que mida el desempeo real del sistema en materia de seguridad, en los siguientes aspectos: a) Grado de implantacin de las medidas de seguridad. b) Eficacia y eficiencia de las medidas de seguridad. c) Impacto de los incidentes de seguridad.

Nm. 25 Viernes 29 de enero de 2010 5. Medidas de proteccin [mp] Las medidas de proteccin, se centrarn en proteger activos concretos, segn su naturaleza, con el nivel requerido en cada dimensin de seguridad. 5.1 5.1.1 Proteccin de las instalaciones e infraestructuras [mp.if]. reas separadas y con control de acceso [mp.if.1].
Sec. I. Pg. 8121
El equipamiento de instalar en reas separadas especficas para su funcin. Se controlarn los accesos a las reas indicadas de forma que slo se pueda acceder por las entradas previstas y vigiladas. 5.1.2 Identificacin de las personas [mp.if.2].
El mecanismo de control de acceso se atendr a lo que se dispone a continuacin: a) Se identificar a todas las personas que accedan a los locales donde hay equipamiento que forme parte del sistema de informacin. b) Se registrarn las entradas y salidas de personas. 5.1.3 Acondicionamiento de los locales [mp.if.3].
Los locales donde se ubiquen los sistemas de informacin y sus componentes, dispondrn de elementos adecuados para el eficaz funcionamiento del equipamiento all instalado. Y, en especial: a) Condiciones de temperatura y humedad. b) Proteccin frente a las amenazas identificadas en el anlisis de riesgos. c) Proteccin del cableado frente a incidentes fortuitos o deliberados. 5.1.4 Energa elctrica [mp.if.4].
D bajo aplica medio + alto =
cve: BOE-A-2010-1330
dimensiones nivel
Los locales donde se ubiquen los sistemas de informacin y sus componentes dispondrn de la energa elctrica, y sus tomas correspondientes, necesaria para su funcionamiento, de forma que en los mismos: a) b) Se garantizar el suministro de potencia elctrica. Se garantizar el correcto funcionamiento de las luces de emergencia.

Nm. 25 Nivel MEDIO Se garantizar el suministro elctrico a los sistemas en caso de fallo del suministro general, garantizando el tiempo suficiente para una terminacin ordenada de los procesos, salvaguardando la informacin. 5.1.5 Proteccin frente a incendios [mp.if.5].
D bajo aplica medio = alto =
Viernes 29 de enero de 2010
Sec. I. Pg. 8122
dimensiones nivel
Los locales donde se ubiquen los sistemas de informacin y sus componentes se protegern frente a incendios fortuitos o deliberados, aplicando al menos la normativa industrial pertinente. 5.1.6 Proteccin frente a inundaciones [mp.if.6].
dimensiones nivel
Los locales donde se ubiquen los sistemas de informacin y sus componentes se protegern frente a incidentes fortuitos o deliberados causados por el agua. 5.1.7 Registro de entrada y salida de equipamiento [mp.if.7].
Se llevar un registro pormenorizado de toda entrada y salida de equipamiento, incluyendo la identificacin de la persona que autoriza de movimiento. 5.1.8 Instalaciones alternativas [mp.if.9].
dimensiones nivel
Se garantizar la existencia y disponibilidad de instalaciones alternativas para poder trabajar en caso de que las instalaciones habituales no estn disponibles. Las instalaciones alternativas disfrutarn de las mismas garantas de seguridad que las instalaciones habituales. 5.2 5.2.1 Gestin del personal [mp.per].
cve: BOE-A-2010-1330
Caracterizacin del puesto de trabajo [mp.per.1].


Nm. 25 Viernes 29 de enero de 2010 Cada puesto de trabajo se caracterizar de la siguiente forma: a) Se definirn las responsabilidades relacionadas con cada puesto de trabajo en materia de seguridad. La definicin se basar en el anlisis de riesgos. b) Se definirn los requisitos que deben satisfacer las personas que vayan a ocupar el puesto de trabajo, en particular, en trminos de confidencialidad. c) Dichos requisitos se tendrn en cuenta en la seleccin de la persona que vaya a ocupar dicho puesto, incluyendo la verificacin de sus antecedentes laborales, formacin y otras referencias. 5.2.2 Deberes y obligaciones [mp.per.2].
Sec. I. Pg. 8123
1. Se informar a cada persona que trabaje en el sistema, de los deberes y responsabilidades de su puesto de trabajo en materia de seguridad. a) Se especificarn las medidas disciplinarias a que haya lugar. b) Se cubrir tanto el periodo durante el cual se desempea el puesto, como las obligaciones en caso de trmino de la asignacin, o traslado a otro puesto de trabajo. c) Se contemplar el deber de confidencialidad respecto de los datos a los que tenga acceso, tanto durante el periodo que estn adscritos al puesto de trabajo, como posteriormente a su terminacin. 2. En caso de personal contratado a travs de un tercero:
a) Se establecern los deberes y obligaciones del personal. b) Se establecern los deberes y obligaciones de cada parte. c) Se establecer el procedimiento de resolucin de incidentes relacionados con el incumplimiento de las obligaciones. 5.2.3 Concienciacin [mp.per.3].
Se realizarn las acciones necesarias para concienciar regularmente al personal acerca de su papel y responsabilidad para que la seguridad del sistema alcance los niveles exigidos. En particular, se recordar regularmente: a) La normativa de seguridad relativa al buen uso de los sistemas. b) La identificacin de incidentes, actividades o comportamientos sospechosos que deban ser reportados para su tratamiento por personal especializado. c) El procedimiento de reporte de incidencias de seguridad, sean reales o falsas alarmas.
cve: BOE-A-2010-1330
5.2.4
Formacin [mp.per.4].

Nm. 25 Viernes 29 de enero de 2010 Sec. I. Pg. 8124 Se formar regularmente al personal en aquellas materias que requieran para el desempeo de sus funciones, en particular en lo relativo a: a) Configuracin de sistemas. b) Deteccin y reaccin a incidentes. c) Gestin de la informacin en cualquier soporte en el que se encuentre. Se cubrirn al menos las siguientes actividades: almacenamiento, transferencia, copias, distribucin y destruccin. 5.2.5 Personal alternativo [mp.per.9].
dimensiones nivel
Se garantizar a existencia y disponibilidad de otras personas que se puedan hacer cargo de las funciones en caso de indisponibilidad del personal habitual. El personal alternativo deber estar sometido a las mismas garantas de seguridad que el personal habitual. 5.3 5.3.1 Proteccin de los equipos [mp.eq]. Puesto de trabajo despejado [mp.eq.1].
todas bsica aplica media + alta =
Se exigir que los puestos de trabajo permanezcan despejados, sin ms material encima de la mesa que el requerido para la actividad que se est realizando en cada momento Categora MEDIA Este material se guardar en lugar cerrado cuando no se est utilizando. 5.3.2 Bloqueo de puesto de trabajo [mp.eq.2].
A bajo no aplica medio aplica alto +
dimensiones nivel
El puesto de trabajo se bloquear al cabo de un tiempo prudencial de inactividad, requiriendo una nueva autenticacin del usuario para reanudar la actividad en curso. Categora ALTA Pasado un cierto tiempo, superior al anterior, se cancelarn las sesiones abiertas desde dicho puesto de trabajo.
cve: BOE-A-2010-1330
5.3.3
Proteccin de porttiles [mp.eq.3].


Nm. 25 Viernes 29 de enero de 2010 Sec. I. Pg. 8125 Los equipos que abandonen las instalaciones de la organizacin y no puedan beneficiarse de la proteccin fsica correspondiente, con un riesgo manifiesto de prdida o robo, sern protegidos adecuadamente. Sin perjuicio de las medidas generales que les afecten, se adoptarn las siguientes: a) Se llevar un inventario de equipos porttiles junto con una identificacin de la persona responsable del mismo y un control regular de que est positivamente bajo su control. b) Se establecer un canal de comunicacin para informar, al servicio de gestin de incidencias, de prdidas o sustracciones. c) Se establecer un sistema de proteccin perimetral que minimice la visibilidad exterior y controle las opciones de acceso al interior cuando el equipo se conecte a redes, en particular si el equipo se conecta a redes pblicas. d) Se evitar, en la medida de lo posible, que el equipo contenga claves de acceso remoto a la organizacin. Se considerarn claves de acceso remoto aquellas que sean capaces de habilitar un acceso a otros equipos de la organizacin, u otras de naturaleza anloga. Categora ALTA a) Se dotar al dispositivo de detectores de violacin que permitan saber el equipo ha sido manipulado y activen los procedimientos previstos de gestin del incidente. b) La informacin de nivel alto almacenada en el disco se proteger mediante cifrado. 5.3.4 Medios alternativos [mp.eq.9].
D bajo No aplica medio aplica alto =
dimensiones nivel
Se garantizar la existencia y disponibilidad de medios alternativos de tratamiento de la informacin para el caso de que fallen los medios habituales. Estos medios alternativos estarn sujetos a las mismas garantas de proteccin. Igualmente, se establecer un tiempo mximo para que los equipos alternativos entren en funcionamiento. 5.4 5.4.1 Proteccin de las comunicaciones [mp.com]. Permetro seguro [mp.com.1].
Se dispondr un sistema cortafuegos que separe la red interna del exterior. Todo el trfico deber atravesar dicho cortafuegos que slo dejara transitar los flujos previamente autorizados.
cve: BOE-A-2010-1330
Categora ALTA a) El sistema de cortafuegos constar de dos o ms equipos de diferente fabricante dispuestos en cascada. b) Se dispondrn sistemas redundantes.

Nm. 25 5.4.2 Viernes 29 de enero de 2010 Proteccin de la confidencialidad [mp.com.2].
C bajo no aplica medio aplica alto +
Sec. I. Pg. 8126
dimensiones nivel
Nivel MEDIO a) Se emplearn redes privadas virtuales cuando la comunicacin discurra por redes fuera del propio dominio de seguridad. b) Se emplearn algoritmos acreditados por el Centro Criptolgico Nacional. Nivel ALTO a) Se emplearn, preferentemente, dispositivos hardware en el establecimiento y utilizacin de la red privada virtual. b) Se emplearn, preferentemente, productos certificados [op.pl.5]. 5.4.3 Proteccin de la autenticidad y de la integridad [mp.com.3].
IA bajo aplica medio + alto +
dimensiones nivel
Nivel BAJO a) Se asegurar la autenticidad del otro extremo de un canal de comunicacin antes de intercambiar informacin alguna (ver [op.acc.5]). b) Se prevendrn ataques activos, garantizando que al menos sern detectados. y se activarn los procedimientos previstos de tratamiento del incidente Se considerarn ataques activos: 1. 2. 3. La alteracin de la informacin en transito La inyeccin de informacin espuria El secuestro de la sesin por una tercera parte
Nivel MEDIO a) Se emplearn redes privadas virtuales cuando la comunicacin discurra por redes fuera del propio dominio de seguridad. b) Se emplearn algoritmos acreditados por el Centro Criptolgico Nacional. Nivel ALTO a) Se valorar positivamente en empleo de dispositivos hardware en el establecimiento y utilizacin de la red privada virtual. b) Se emplearn, preferentemente, productos certificados [op.pl.5]. 5.4.4 Segregacin de redes [mp.com.4].
cve: BOE-A-2010-1330

Nm. 25 Viernes 29 de enero de 2010 Sec. I. Pg. 8127 La segregacin de redes acota el acceso a la informacin y, consiguientemente, la propagacin de los incidentes de seguridad, que quedan restringidos al entorno donde ocurren. La red se segmentar en segmentos de forma que haya: a) Control de entrada de los usuarios que llegan a cada segmento. b) Control de salida de la informacin disponible en cada segmento. c) Las redes se pueden segmentar por dispositivos fsicos o lgicos. El punto de interconexin estar particularmente asegurado, mantenido y monitorizado (como en [mp.com.1]). 5.4.5 Medios alternativos [mp.com.9].
dimensiones nivel
Se garantizar la existencia y disponibilidad de medios alternativos de comunicacin para el caso de que fallen los medios habituales. Los medios alternativos de comunicacin: a) Estarn sujetos y proporcionar las mismas garantas de proteccin que el medio habitual. b) Garantizarn un tiempo mximo de entrada en funcionamiento. 5.5 5.5.1 Proteccin de los soportes de informacin [mp.si]. Etiquetado [mp.si.1].
C bajo aplica medio = alto =
dimensiones nivel
Los soportes de informacin se etiquetarn de forma que, sin revelar su contenido, se indique el nivel de seguridad de la informacin contenida de mayor calificacin. Los usuarios han de estar capacitados para entender el significado de las etiquetas, bien mediante simple inspeccin, bien mediante el recurso a un repositorio que lo explique. 5.5.2 Criptografa. [mp.si.2].
IC bajo no aplica medio aplica alto +
dimensiones nivel
Nivel ALTO a) b) Se emplearn algoritmos acreditados por el Centro Criptolgico Nacional. Se emplearn, preferentemente, productos certificados [op.pl.5].
cve: BOE-A-2010-1330
Esta medida se aplica, en particular, a todos los dispositivos removibles. Se entendern por dispositivos removibles, los CD, DVD, discos USB, u otros de naturaleza anloga. Se aplicarn mecanismos criptogrficos que garanticen la confidencialidad y la integridad de la informacin contenida.

Nm. 25 5.5.3 Viernes 29 de enero de 2010 Custodia [mp.si.3].
Sec. I. Pg. 8128
Se aplicar la debida diligencia y control a los soportes de informacin que permanecen bajo la responsabilidad de la organizacin, mediante las siguientes actuaciones: a) Garantizando el control de acceso con medidas fsicas ([mp.if.1] y [mpl.if.7]) lgicas ([mp.si.2]), o ambas. b) Garantizando que se respetan las exigencias de mantenimiento del fabricante, en especial, en lo referente a temperatura, humedad y otros agresores medioambientales. 5.5.4 Transporte [mp.si.4].
El responsable de sistemas garantizar que los dispositivos permanecen bajo control y que satisfacen sus requisitos de seguridad mientras estn siendo desplazados de un lugar a otro. Para ello: a) Se dispondr de un registro de salida que identifique al transportista que recibe el soporte para su traslado. b) Se dispondr de un registro de entrada que identifique al transportista que lo entrega. c) Se dispondr de un procedimiento rutinario que coteje las salidas con las llegadas y levante las alarmas pertinentes cuando se detecte algn incidente. d) Se utilizarn los medios de proteccin criptogrfica ([mp.si.2]) correspondientes al nivel de calificacin de la informacin contenida de mayor nivel. e) Se gestionarn las claves segn [op.exp.11]. 5.5.5 Borrado y destruccin [mp.si.5].
C bajo no aplica medio aplica alto =
dimensiones nivel
La medida de borrado y destruccin de soportes de informacin se aplicar a todo tipo de equipos susceptibles de almacenar informacin, incluyendo medios electrnicos y no electrnicos. a) Los soportes que vayan a ser reutilizados para otra informacin o liberados a otra organizacin sern objeto de un borrado seguro de su anterior contenido. b) Se destruirn de forma segura los soportes, en los siguientes casos: 1. Cuando la naturaleza del soporte no permita un borrado seguro. 2. Cuando as lo requiera el procedimiento asociado al tipo de la informacin contenida,. c) Se emplearn, preferentemente, productos certificados [op.pl.5].
cve: BOE-A-2010-1330

Nm. 25 5.6 5.6.1 Viernes 29 de enero de 2010 Proteccin de las aplicaciones informticas [mp.sw]. Desarrollo de aplicaciones [mp.sw.1].
Sec. I. Pg. 8129
a) El desarrollo de aplicaciones se realizar sobre un sistema diferente y separado del de produccin, no debiendo existir herramientas o datos de desarrollo en el entorno de produccin. b) Se aplicar una metodologa de desarrollo reconocida que: 1. Tome en consideracin los aspectos de seguridad a lo largo de todo el ciclo de vida. 2. Trate especficamente los datos usados en pruebas. 3. Permita la inspeccin del cdigo fuente. c) 1. 2. 3. Los siguientes elementos sern parte integral del diseo del sistema: Los mecanismos de identificacin y autenticacin. Los mecanismos de proteccin de la informacin tratada. La generacin y tratamiento de pistas de auditora.
d) Las pruebas anteriores a la implantacin o modificacin de los sistemas de informacin no se realizarn con datos reales, salvo que se asegure el nivel de seguridad correspondiente. 5.6.2 Aceptacin y puesta en servicio [mp.sw.2].
dimensiones categora todas bsica aplica media + alta ++
Categora BSICA Antes de pasar a produccin se comprobar el correcto funcionamiento de la aplicacin. a) 1. 2. Se comprobar que: Se cumplen los criterios de aceptacin en materia de seguridad. No se deteriora la seguridad de otros componentes del servicio.
b) Las pruebas se realizarn en un entorno aislado (pre-produccin). c) Las pruebas de aceptacin no se realizarn con datos reales, salvo que se asegure el nivel de seguridad correspondiente. Categora MEDIA
cve: BOE-A-2010-1330
Se realizarn las siguientes inspecciones previas a la entrada en servicio: a) Anlisis de vulnerabilidades. b) Pruebas de penetracin.

Nm. 25 Categora ALTA Se realizarn las siguientes inspecciones previas a la entrada en servicio: a) Anlisis de coherencia en la integracin en los procesos. b) Se considerar la oportunidad de realizar una auditora de cdigo fuente. 5.7 5.7.1 Proteccin de la informacin [mp.info]. Datos de carcter personal [mp.info.1].
todas bsica aplica media aplica alta aplica
Viernes 29 de enero de 2010
Sec. I. Pg. 8130
Cuando el sistema trate datos de carcter personal, se estar a lo dispuesto en la Ley Orgnica 15/1999, de 13 de diciembre, y normas de desarrollo, sin perjuicio de cumplir, adems, las medidas establecidas por este real decreto. Lo indicado en el prrafo anterior tambin se aplicar, cuando una disposicin con rango de ley se remita a las normas sobre datos de carcter personal en la proteccin de informacin. 5.7.2 Calificacin de la informacin [mp.info.2].
C bajo aplica medio + alto =
dimensiones nivel
1. Para calificar la informacin se estar a lo establecido legalmente sobre la naturaleza de la misma. 2. La poltica de seguridad establecer quin es el responsable de cada informacin manejada por el sistema. 3. La poltica de seguridad recoger, directa o indirectamente, los criterios que, en cada organizacin, determinarn el nivel de seguridad requerido, dentro del marco establecido en el artculo 43 y los criterios generales prescritos en el Anexo I. 4. El responsable de cada informacin seguir los criterios determinados en el apartado anterior para asignar a cada informacin el nivel de seguridad requerido, y ser responsable de su documentacin y aprobacin formal. 5. El responsable de cada informacin en cada momento tendr en exclusiva la potestad de modificar el nivel de seguridad requerido, de acuerdo a los apartados anteriores. Nivel MEDIO Se redactarn los procedimientos necesarios que describan, en detalle, la forma en que se ha de etiquetar y tratar la informacin en consideracin al nivel de seguridad que requiere; y precisando cmo se ha de realizar: a) Su control de acceso. b) Su almacenamiento. c) La realizacin de copias. d) El etiquetado de soportes. e) Su transmisin telemtica. f) Y cualquier otra actividad relacionada con dicha informacin.
cve: BOE-A-2010-1330

Nm. 25 5.7.3 Viernes 29 de enero de 2010 Cifrado de la informacin [mp.info.3].
C bajo no aplica medio no aplica alto aplica
Sec. I. Pg. 8131
dimensiones nivel
Para el cifrado de informacin se estar a lo que se indica a continuacin: a) La informacin con un nivel alto en confidencialidad se cifrar tanto durante su almacenamiento como durante su transmisin. Slo estar en claro mientras se est haciendo uso de ella. b) Para el uso de criptografa en las comunicaciones, se estar a lo dispuesto en [mp. com.2]. c) Para el uso de criptografa en los soportes de informacin, se estar a lo dispuesto en [mp.si.2]. 5.7.4 Firma electrnica [mp.info.4].
IA bajo aplica medio + alto ++
dimensiones nivel
La firma electrnica es un mecanismo de prevencin del repudio; es decir, previene frente a la posibilidad de que en el futuro el signatario pudiera desdecirse de la informacin firmada. La firma electrnica garantiza la autenticidad del signatario y la integridad del contenido. Cuando se emplee firma electrnica: a) El signatario ser la parte que se hace responsable de la informacin, en la medida de sus atribuciones. b) Se dispondr de una Poltica de Firma Electrnica, aprobada por el rgano superior competente que corresponda. Nivel BAJO Se emplear cualquier medio de firma electrnica de los previstos en la legislacin vigente. Nivel MEDIO 1. Los medios utilizados en la firma electrnica sern proporcionados a la calificacin de la informacin tratada. En todo caso: a) Se emplearn algoritmos acreditados por el Centro Criptolgico Nacional. b) Se emplearn, preferentemente, certificados reconocidos. c) Se emplearn, preferentemente, dispositivos seguros de firma. 2. Se garantizar la verificacin y validacin de la firma electrnica durante el tiempo requerido por la actividad administrativa que aqulla soporte, sin perjuicio de que se pueda ampliar este perodo de acuerdo con lo que establezca la poltica de firma electrnica y de certificados que sea de aplicacin. Para tal fin: a) Se adjuntar a la firma, o se referenciar, toda la informacin pertinente para su verificacin y validacin: 1. 2. Certificados. Datos de verificacin y validacin.
cve: BOE-A-2010-1330

Nm. 25 Viernes 29 de enero de 2010 Sec. I. Pg. 8132 b) Se protegern la firma y la informacin mencionada en el apartado anterior con un sello de tiempo. c) El organismo que recabe documentos firmados por el administrado verificar y validar la firma recibida en el momento de la recepcin, anexando o referenciando sin ambigedad la informacin descrita en los epgrafes a) y b). d) La firma electrnica de documentos por parte de la Administracin anexar o referenciar sin ambigedad la informacin descrita en los epgrafes a) y b). Nivel ALTO Se aplicarn las medidas de seguridad referentes a firma electrnica exigibles en la nivel Medio, adems de las siguientes: a) Se usarn certificados reconocidos. b) Se usarn dispositivos seguros de creacin de firma. c) Se emplearn, preferentemente, productos certificados [op.pl.5]. 5.7.5 Sellos de tiempo [mp.info.5].
dimensiones nivel
Los sellos de tiempo prevendrn la posibilidad del repudio posterior: 1. Los sellos de tiempo se aplicarn a aquella informacin que sea susceptible de ser utilizada como evidencia electrnica en el futuro. 2. Los datos pertinentes para la verificacin posterior de la fecha sern tratados con la misma seguridad que la informacin fechada a efectos de disponibilidad, integridad y confidencialidad. 3. Se renovarn regularmente los sellos de tiempo hasta que la informacin protegida ya no sea requerida por el proceso administrativo al que da soporte. 4. Se utilizarn productos certificados (segn [op.pl.5]) o servicios externos admitidos. Vase [op.exp.10]. 5.7.6 Limpieza de documentos [mp.info.6].
C bajo aplica medio = alto =
dimensiones nivel
En el proceso de limpieza de documentos, se retirar de estos toda la informacin adicional contenida en campos ocultos, meta-datos, comentarios o revisiones anteriores, salvo cuando dicha informacin sea pertinente para el receptor del documento. Esta medida es especialmente relevante cuando el documento se difunde ampliamente, como ocurre cuando se ofrece al pblico en un servidor web u otro tipo de repositorio de informacin. Se tendr presente que el incumplimiento de esta medida puede perjudicar:
cve: BOE-A-2010-1330
a) Al mantenimiento de la confidencialidad de informacin que no debera haberse revelado al receptor del documento. b) Al mantenimiento de la confidencialidad de las fuentes u orgenes de la informacin, que no debe conocer el receptor del documento. c) A la buena imagen de la organizacin que difunde el documento por cuanto demuestra un descuido en su buen hacer.

Nm. 25 5.7.7 Viernes 29 de enero de 2010 Copias de seguridad (backup) [mp.info.9].
Sec. I. Pg. 8133
dimensiones nivel
Se realizarn copias de respaldo que permitan recuperar datos perdidos accidental o intencionadamente con una antigedad determinada. Las copias de respaldo disfrutarn de la misma seguridad que los datos originales en lo que se refiere a integridad, confidencialidad, autenticidad y trazabilidad. En particular, se considerar la conveniencia o necesidad de que las copias de seguridad estn cifradas para garantizar la confidencialidad. Las copias de respaldo debern abarcar: a) Informacin de trabajo de la organizacin. b) Aplicaciones en explotacin, incluyendo los sistemas operativos. c) Datos de configuracin, servicios, aplicaciones, equipos, u otros de naturaleza anloga. d) Claves utilizadas para preservar la confidencialidad de la informacin. 5.8 5.8.1 Proteccin de los servicios [mp.s]. Proteccin del correo electrnico (e-mail) [mp.s.1].
El correo electrnico se proteger frente a las amenazas que le son propias, actuando del siguiente modo: a) La informacin distribuida por medio de correo electrnico, se proteger, tanto en el cuerpo de los mensajes, como en los anexos. b) Se proteger la informacin de encaminamiento de mensajes y establecimiento de conexiones. c) Se proteger a la organizacin frente a problemas que se materializan por medio del correo electrnico, en concreto: 1. Correo no solicitado, en su expresin inglesa spam. 2. Programas dainos, constituidos por virus, gusanos, troyanos, espas, u otros de naturaleza anloga. 3. Cdigo mvil de tipo applet. d) Se establecern normas de uso del correo electrnico por parte del personal determinado. Estas normas de uso contendrn: 1. Limitaciones al uso como soporte de comunicaciones privadas.
2. Actividades de concienciacin y formacin relativas al uso del correo electrnico.

cve: BOE-A-2010-1330
5.8.2
Proteccin de servicios y aplicaciones web [mp.s.2].


Nm. 25 Viernes 29 de enero de 2010 Sec. I. Pg. 8134 Los subsistemas dedicados a la publicacin de informacin debern ser protegidos frente a las amenazas que les son propias. a) Cuando la informacin tenga algn tipo de control de acceso, se garantizar la imposibilidad de acceder a la informacin obviando la autenticacin, en particular tomando medidas en los siguientes aspectos: 1. Se evitar que el servidor ofrezca acceso a los documentos por vas alternativas al protocolo determinado. 2. Se prevendrn ataques de manipulacin de URL. 3. Se prevendrn ataques de manipulacin de fragmentos de informacin que se almacena en el disco duro del visitante de una pgina web a travs de su navegador, a peticin del servidor de la pgina, conocido en terminologa inglesa como cookies. 4. Se prevendrn ataques de inyeccin de cdigo. b) Se prevendrn intentos de escalado de privilegios. c) Se prevendrn ataques de cross site scripting. d) Se prevendrn ataques de manipulacin de programas o dispositivos que realizan una accin en representacin de otros, conocidos en terminologa inglesa como proxies y, sistemas especiales de almacenamiento de alta velocidad, conocidos en terminologa inglesa como cachs. 5.8.3 Proteccin frente a la denegacin de servicio [mp.s.8].
D bajo No aplica medio aplica alto +
dimensiones nivel
Nivel MEDIO Se establecern medidas preventivas y reactivas frente a ataques de denegacin de servicio (DOS Denial of Service). Para ello: a) Se planificar y dotar al sistema de capacidad suficiente para atender a la carga prevista con holgura. b) Se desplegarn tecnologas para prevenir los ataques conocidos. Nivel ALTO a) Se establecer un sistema de deteccin de ataques de denegacin de servicio. b) Se establecern procedimientos de reaccin a los ataques, incluyendo la comunicacin con el proveedor de comunicaciones. c) Se impedir el lanzamiento de ataques desde las propias instalaciones perjudicando a terceros. 5.8.4 Medios alternativos [mp.s.9].
D bajo no aplica medio no aplica alto
cve: BOE-A-2010-1330
dimensiones nivel
aplica
Se garantizar la existencia y disponibilidad de medios alternativos para prestar los servicios en el caso de que fallen los medios habituales. Estos medios alternativos estarn sujetos a las mismas garantas de proteccin que los medios habituales.

Nm. 25 Viernes 29 de enero de 2010 6. Desarrollo y complemento de las medidas de seguridad Las medidas de seguridad se desarrollarn y complementarn segn lo establecido en la disposicin final segunda. 7. Interpretacin La interpretacin del presente anexo se realizar segn el sentido propio de sus palabras, en relacin con el contexto, antecedentes histricos y legislativos, entre los que figura lo dispuesto en las instrucciones tcnicas CCN-STIC correspondientes a la implementacin y a diversos escenarios de aplicacin tales como sedes electrnicas, servicios de validacin de certificados electrnicos, servicios de fechado electrnico y validacin de documentos fechados, atendiendo el espritu y finalidad de aquellas. ANEXO III Auditora de la seguridad 1. Objeto de la auditora 1. La seguridad de los sistemas de informacin de una organizacin ser auditada en los siguientes trminos: a) Que la poltica de seguridad define los roles y funciones de los responsables de la informacin, los servicios, los activos y la seguridad del sistema de informacin. b) Que existen procedimientos para resolucin de conflictos entre dichos responsables. c) Que se han designado personas para dichos roles a la luz del principio de separacin de funciones. d) Que se ha realizado un anlisis de riesgos, con revisin y aprobacin anual. e) Que se cumplen las recomendaciones de proteccin descritas en el anexo II, sobre Medidas de Seguridad, en funcin de las condiciones de aplicacin en cada caso. f) Que existe un sistema de gestin de la seguridad de la informacin, documentado y con un proceso regular de aprobacin por la direccin. 2. La auditora se basar en la existencia de evidencias que permitan sustentar objetivamente el cumplimiento de los puntos mencionados: a) Documentacin de los procedimientos. b) Registro de incidencias. c) Examen del personal afectado: conocimiento y praxis de las medidas que le afectan. 2. Niveles de auditora Los niveles de auditora que se realizan a los sistemas de informacin, sern los siguientes: 1. Auditora a sistemas de categora BSICA. a) Los sistemas de informacin de categora BSICA, o inferior, no necesitarn realizar una auditora. Bastar una autoevaluacin realizada por el mismo personal que administra el sistema de informacin, o en quien ste delegue. El resultado de la autoevaluacin debe estar documentado, indicando si cada medida de seguridad est implantada y sujeta a revisin regular y las evidencias que sustentan la valoracin anterior. b) Los informes de autoevaluacin sern analizados por el responsable de seguridad competente, que elevar las conclusiones al responsable del sistema para que adopte las medidas correctoras adecuadas. Sec. I. Pg. 8135
cve: BOE-A-2010-1330

Nm. 25 Viernes 29 de enero de 2010 2. Auditora a sistemas de categora MEDIA O ALTA. a) El informe de auditora dictaminar sobre el grado de cumplimiento del presente real decreto, identificar sus deficiencias y sugerir las posibles medidas correctoras o complementarias que sean necesarias, as como las recomendaciones que se consideren oportunas. Deber, igualmente, incluir los criterios metodolgicos de auditora utilizados, el alcance y el objetivo de la auditora, y los datos, hechos y observaciones en que se basen en que se basen las conclusiones formuladas. b) Los informes de auditora sern analizados por el responsable de seguridad competente, que presentar sus conclusiones al responsable del sistema para que adopte las medidas correctoras adecuadas. 3. Interpretacin La interpretacin del presente anexo se realizar segn el sentido propio de sus palabras, en relacin con el contexto, antecedentes histricos y legislativos, entre los que figura lo dispuesto en la instruccin tcnica CCN-STIC correspondiente, atendiendo al espritu y finalidad de aquellas. ANEXO IV Glosario Activo. Componente o funcionalidad de un sistema de informacin susceptible de ser atacado deliberada o accidentalmente con consecuencias para la organizacin. Incluye: informacin, datos, servicios, aplicaciones (software), equipos (hardware), comunicaciones, recursos administrativos, recursos fsicos y recursos humanos. Anlisis de riesgos. Utilizacin sistemtica de la informacin disponible para identificar peligros y estimar los riesgos. Auditora de la seguridad. Revisin y examen independientes de los registros y actividades del sistema para verificar la idoneidad de los controles del sistema, asegurar que se cumplen la poltica de seguridad y los procedimientos operativos establecidos, detectar las infracciones de la seguridad y recomendar modificaciones apropiadas de los controles, de la poltica y de los procedimientos. Autenticidad. Propiedad o caracterstica consistente en que una entidad es quien dice ser o bien que garantiza la fuente de la que proceden los datos. Categora de un sistema. Es un nivel, dentro de la escala Bsica-Media-Alta, con el que se adjetiva un sistema a fin de seleccionar las medidas de seguridad necesarias para el mismo. La categora del sistema recoge la visin holstica del conjunto de activos como un todo armnico, orientado a la prestacin de unos servicios. Confidencialidad. Propiedad o caracterstica consistente en que la informacin ni se pone a disposicin, ni se revela a individuos, entidades o procesos no autorizados. Disponibilidad. Propiedad o caracterstica de los activos consistente en que las entidades o procesos autorizados tienen acceso a los mismos cuando lo requieren. Firma electrnica. Conjunto de datos en forma electrnica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificacin del firmante. Gestin de incidentes. Plan de accin para atender a las incidencias que se den. Adems de resolverlas debe incorporar medidas de desempeo que permitan conocer la calidad del sistema de proteccin y detectar tendencias antes de que se conviertan en grandes problemas. Gestin de riesgos. Actividades coordinadas para dirigir y controlar una organizacin con respecto a los riesgos. Incidente de seguridad. Suceso inesperado o no deseado con consecuencias en detrimento de la seguridad del sistema de informacin. Sec. I. Pg. 8136
cve: BOE-A-2010-1330

Nm. 25 Viernes 29 de enero de 2010 Sec. I. Pg. 8137 Integridad. Propiedad o caracterstica consistente en que el activo de informacin no ha sido alterado de manera no autorizada. Medidas de seguridad. Conjunto de disposiciones encaminadas a protegerse de los riesgos posibles sobre el sistema de informacin, con el fin de asegurar sus objetivos de seguridad. Puede tratarse de medidas de prevencin, de disuasin, de proteccin, de deteccin y reaccin, o de recuperacin. Poltica de firma electrnica. Conjunto de normas de seguridad, de organizacin, tcnicas y legales para determinar cmo se generan, verifican y gestionan firmas electrnicas, incluyendo las caractersticas exigibles a los certificados de firma. Poltica de seguridad. Conjunto de directrices plasmadas en documento escrito, que rigen la forma en que una organizacin gestiona y protege la informacin y los servicios que considera crticos. Principios bsicos de seguridad. Fundamentos que deben regir toda accin orientada a asegurar la informacin y los servicios. Proceso. Conjunto organizado de actividades que se llevan a cabo para producir a un producto o servicio; tiene un principio y fin delimitado, implica recursos y da lugar a un resultado. Proceso de seguridad. Mtodo que se sigue para alcanzar los objetivos de seguridad de la organizacin. El proceso se disea para identificar, medir, gestionar y mantener bajo control los riesgos a que se enfrenta el sistema en materia de seguridad. Requisitos mnimos de seguridad. Exigencias necesarias para asegurar la informacin y los servicios. Riesgo. Estimacin del grado de exposicin a que una amenaza se materialice sobre uno o ms activos causando daos o perjuicios a la organizacin. Seguridad de las redes y de la informacin, es la capacidad de las redes o de los sistemas de informacin de resistir, con un determinado nivel de confianza, los accidentes o acciones ilcitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos y de los servicios que dichas redes y sistemas ofrecen o hacen accesibles. Servicios acreditados. Servicios prestados por un sistema con autorizacin concedida por la autoridad responsable, para tratar un tipo de informacin determinada, en unas condiciones precisas de las dimensiones de seguridad, con arreglo a su concepto de operacin. Sistema de gestin de la seguridad de la informacin (SGSI). Sistema de gestin que, basado en el estudio de los riesgos, se establece para crear, implementar, hacer funcionar, supervisar, revisar, mantener y mejorar la seguridad de la informacin. El sistema de gestin incluye la estructura organizativa, las polticas, las actividades de planificacin, las responsabilidades, las prcticas, los procedimientos, los procesos y los recursos. Sistema de informacin. Conjunto organizado de recursos para que la informacin se pueda recoger, almacenar, procesar o tratar, mantener, usar, compartir, distribuir, poner a disposicin, presentar o transmitir. Trazabilidad. Propiedad o caracterstica consistente en que las actuaciones de una entidad pueden ser imputadas exclusivamente a dicha entidad. Vulnerabilidad. Una debilidad que puede ser aprovechada por una amenaza. Acrnimos CCN: Centro Criptolgico Nacional. CERT: Computer Emergency Reaction Team. INTECO: Instituto Nacional de Tecnologas de la Comunicacin. STIC: Seguridad de las Tecnologas de Informacin y Comunicaciones.
cve: BOE-A-2010-1330

Nm. 25 Viernes 29 de enero de 2010 ANEXO V Modelo de clusula administrativa particular Clusula administrativa particular.En cumplimiento con lo dispuesto en el artculo 99.4 de la Ley 30/2007, de 30 de octubre, de Contratos del Sector Pblico, y el artculo 18 del Real Decreto /, de de por el que se regula el Esquema Nacional de Seguridad, el licitador incluir referencia precisa, documentada y acreditativa de que los productos de seguridad, equipos, sistemas, aplicaciones o sus componentes, han sido previamente certificados por el Organismo de Certificacin del Esquema Nacional de Evaluacin y Certificacin de Seguridad de las Tecnologas de la Informacin. En el caso de que no exista la certificacin indicada en el prrafo anterior, o est en proceso, se incluir, igualmente, referencia precisa, documentada y acreditativa de que son los ms idneos. Cuando estos sean empleados para el tratamiento de datos de carcter personal, el licitador incluir, tambin, lo establecido en la Disposicin adicional nica del Real Decreto 1720/2007, de 21 de diciembre. Sec. I. Pg. 8138
http://www.boe.es
D. L.: M-1/1958 - ISSN: 0212-033X
cve: BOE-A-2010-1330

Esquema Nacional de Seguridad en El Ámbito de La Administración Electrónica

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Esquema Nacional de Seguridad en El Ámbito de La Administración Electrónica

Cargado por

Copyright:

Formatos disponibles

BOLETN OFICIAL DEL ESTADO

Nm. 25 Viernes 29 de enero de 2010 Sec. I. Pg. 8089

BOLETN OFICIAL DEL ESTADO

BOLETN OFICIAL DEL ESTADO

BOLETN OFICIAL DEL ESTADO

BOLETN OFICIAL DEL ESTADO

BOLETN OFICIAL DEL ESTADO

BOLETN OFICIAL DEL ESTADO

BOLETN OFICIAL DEL ESTADO

Mejora continua del proceso de seguridad.

BOLETN OFICIAL DEL ESTADO

BOLETN OFICIAL DEL ESTADO

BOLETN OFICIAL DEL ESTADO

BOLETN OFICIAL DEL ESTADO

BOLETN OFICIAL DEL ESTADO

BOLETN OFICIAL DEL ESTADO

BOLETN OFICIAL DEL ESTADO

BOLETN OFICIAL DEL ESTADO

BOLETN OFICIAL DEL ESTADO

op op.pl op.pl.1 op.pl.2

Marco operacional Planificacin Anlisis de riesgos Arquitectura de seguridad

categora categora categora categora

aplica aplica aplica aplica

org org.1 org.2 org.3 org.4

BOLETN OFICIAL DEL ESTADO

categora categora categora D D D categora D categora categora categora categora D categora

= = = + = aplica = n.a. aplica = = = n.a. +

BOLETN OFICIAL DEL ESTADO

Poltica de seguridad [org.1].

BOLETN OFICIAL DEL ESTADO

BOLETN OFICIAL DEL ESTADO

4.1.2 Arquitectura de seguridad [op.pl.2].

BOLETN OFICIAL DEL ESTADO

4.1.3 Adquisicin de nuevos componentes [op.pl.3].

BOLETN OFICIAL DEL ESTADO

BOLETN OFICIAL DEL ESTADO

Proceso de gestin de derechos de acceso [op.acc.4].

BOLETN OFICIAL DEL ESTADO

BOLETN OFICIAL DEL ESTADO

algo que se sabe algo que se tiene algo que se es

claves concertadas Tokens Biometra

no criptogrficos + doble factor

4.2.6 Acceso local [op.acc.6].

I CAT bajo aplica medio + alto =

BOLETN OFICIAL DEL ESTADO

Gestin de la configuracin [op.exp.3].

BOLETN OFICIAL DEL ESTADO

Proteccin frente a cdigo daino [op.exp.6].

BOLETN OFICIAL DEL ESTADO

Registro de la gestin de incidencias [op.exp.9].

BOLETN OFICIAL DEL ESTADO

BOLETN OFICIAL DEL ESTADO

Sec. I. Pg. 8119

4.5.1 Anlisis de impacto [op.cont.1].

BOLETN OFICIAL DEL ESTADO

Sec. I. Pg. 8120

Se dispondrn de herramientas de deteccin o de prevencin de intrusin. 4.6.2 Sistema de mtricas [op.mon.2].

BOLETN OFICIAL DEL ESTADO

Sec. I. Pg. 8121

BOLETN OFICIAL DEL ESTADO

Viernes 29 de enero de 2010

Sec. I. Pg. 8122

Caracterizacin del puesto de trabajo [mp.per.1].