Tema 68 BOE-A-2010-1330

BOLETN OFICIAL DEL ESTADO
Nm. 25
Viernes 29 de enero de 2010
Sec. I. Pg. 8089
I. DISPOSICIONES GENERALES
MINISTERIO DE LA PRESIDENCIA
1330
Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional

de Seguridad en el mbito de la Administracin Electrnica.
I
La necesaria generalizacin de la sociedad de la informacin es subsidiaria, en gran

medida, de la confianza que genere en los ciudadanos la relacin a travs de medios
electrnicos.
En el mbito de las Administraciones pblicas, la consagracin del derecho a
comunicarse con ellas a travs de medios electrnicos comporta una obligacin correlativa
de las mismas, que tiene, como premisas, la promocin de las condiciones para que la
libertad y la igualdad sean reales y efectivas, y la remocin de los obstculos que impidan
o dificulten su plenitud, lo que demanda incorporar las peculiaridades que exigen una
aplicacin segura de estas tecnologas.
A ello ha venido a dar respuesta el artculo 42.2 de la Ley 11/2007, de 22 de junio, de
acceso electrnico de los ciudadanos a los servicios pblicos, mediante la creacin del
Esquema Nacional de Seguridad, cuyo objeto es el establecimiento de los principios y
requisitos de una poltica de seguridad en la utilizacin de medios electrnicos que permita
la adecuada proteccin de la informacin.
La finalidad del Esquema Nacional de Seguridad es la creacin de las condiciones
necesarias de confianza en el uso de los medios electrnicos, a travs de medidas para
garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios
electrnicos, que permita a los ciudadanos y a las Administraciones pblicas, el ejercicio
de derechos y el cumplimiento de deberes a travs de estos medios.
El Esquema Nacional de Seguridad persigue fundamentar la confianza en que los
sistemas de informacin prestarn sus servicios y custodiarn la informacin de acuerdo con
sus especificaciones funcionales, sin interrupciones o modificaciones fuera de control, y sin
que la informacin pueda llegar al conocimiento de personas no autorizadas. Se desarrollar
y perfeccionar en paralelo a la evolucin de los servicios y a medida que vayan consolidndose
los requisitos de los mismos y de las infraestructuras que lo apoyan.
Actualmente los sistemas de informacin de las administraciones pblicas estn
fuertemente imbricados entre s y con sistemas de informacin del sector privado: empresas
y administrados. De esta manera, la seguridad tiene un nuevo reto que va ms all del
aseguramiento individual de cada sistema. Es por ello que cada sistema debe tener claro
su permetro y los responsables de cada dominio de seguridad deben coordinarse
efectivamente para evitar tierras de nadie y fracturas que pudieran daar a la informacin
o a los servicios prestados.
En este contexto se entiende por seguridad de las redes y de la informacin, la
capacidad de las redes o de los sistemas de informacin de resistir, con un determinado
nivel de confianza, los accidentes o acciones ilcitas o malintencionadas que comprometan
la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o
transmitidos y de los servicios que dichas redes y sistemas ofrecen o hacen accesibles.
El Esquema Nacional de Seguridad tiene presentes las recomendaciones de la Unin

Europea (Decisin 2001/844/CE CECA, Euratom de la Comisin, de 29 de noviembre
de 2001, por la que se modifica su Reglamento interno y Decisin 2001/264/CE del
Consejo, de 19 de marzo de 2001, por la que se adoptan las normas de seguridad del
Consejo), la situacin tecnolgica de las diferentes Administraciones pblicas, as como
cve: BOE-A-2010-1330
II

Sec. I. Pg. 8090
los servicios electrnicos existentes en las mismas, la utilizacin de estndares abiertos y,

de forma complementaria, estndares de uso generalizado por los ciudadanos.
Su articulacin se ha realizado atendiendo a la normativa nacional sobre Administracin
electrnica, proteccin de datos de carcter personal, firma electrnica y documento
nacional de identidad electrnico, Centro Criptolgico Nacional, sociedad de la informacin,
reutilizacin de la informacin en el sector pblico y rganos colegiados responsables de
la Administracin Electrnica; as como la regulacin de diferentes instrumentos y servicios
de la Administracin, las directrices y guas de la OCDE y disposiciones nacionales e
internacionales sobre normalizacin.
La Ley 11/2007, de 22 de junio, posibilita e inspira esta norma, a cuyo desarrollo
coadyuva, en los aspectos de la seguridad de los sistemas de tecnologas de la informacin
en las Administraciones pblicas, contribuyendo al desarrollo de un instrumento efectivo
que permite garantizar los derechos de los ciudadanos en la Administracin electrnica.
La Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter
Personal y sus normas de desarrollo, determinan las medidas para la proteccin de los
datos de carcter personal. Adems, aportan criterios para establecer la proporcionalidad
entre las medidas de seguridad y la informacin a proteger.
La Ley 30/1992, de 26 de noviembre, de Rgimen Jurdico de las Administraciones
Pblicas y del Procedimiento Administrativo Comn, referente legal imprescindible de
cualquier regulacin administrativa, determina la configuracin de numerosos mbitos de
confidencialidad administrativos, diferentes a la informacin clasificada y a los datos de
carcter personal, que necesitan ser materialmente protegidos. Asimismo determina el
sustrato legal de las comunicaciones administrativas y sus requisitos jurdicos de validez y
eficacia, sobre los que soportar los requerimientos tecnolgicos y de seguridad necesarios
para proyectar sus efectos en las comunicaciones realizadas por va electrnica.
La Ley 37/2007, de 16 de noviembre, sobre reutilizacin de la informacin del sector
pblico que determina la regulacin bsica del rgimen jurdico aplicable a la reutilizacin
de documentos elaborados en el sector pblico, que configura un mbito excepcionado de
su aplicacin, en el que se encuentra la informacin a la que se refiere el Esquema Nacional
de Seguridad.
Junto a las disposiciones indicadas, han inspirado el contenido de esta norma,
documentos de la Administracin en materia de seguridad electrnica, tales como los
Criterios de Seguridad, Normalizacin y Conservacin, las Guas CCN-STIC de Seguridad
de los Sistemas de Informacin y Comunicaciones, la Metodologa y herramientas de
anlisis y gestin de riesgos o el Esquema Nacional de Interoperabilidad, tambin
desarrollado al amparo de lo dispuesto en la Ley 11/2007, de 22 de junio.
III
Este real decreto se limita a establecer los principios bsicos y requisitos mnimos que,
de acuerdo con el inters general, naturaleza y complejidad de la materia regulada,
permiten una proteccin adecuada de la informacin y los servicios, lo que exige incluir el
alcance y procedimiento para gestionar la seguridad electrnica de los sistemas que tratan
informacin de las Administraciones pblicas en el mbito de la Ley 11/2007, de 22 de
junio. Con ello, se logra un comn denominador normativo, cuya regulacin no agota todas
las posibilidades de normacin, y permite ser completada, mediante la regulacin de los
objetivos, materialmente no bsicos, que podrn ser decididos por polticas legislativas
territoriales.
Para dar cumplimiento a lo anterior se determinan las dimensiones de seguridad y sus
niveles, la categora de los sistemas, las medidas de seguridad adecuadas y la auditora
peridica de la seguridad; se implanta la elaboracin de un informe para conocer
regularmente el estado de seguridad de los sistemas de informacin a los que se refiere el
presente real decreto, se establece el papel de la capacidad de respuesta ante incidentes
de seguridad de la informacin del Centro Criptolgico Nacional, se incluye un glosario de
trminos y se hace una referencia expresa a la formacin.
cve: BOE-A-2010-1330
Nm. 25

Nm. 25
Sec. I. Pg. 8091
La norma se estructura en diez captulos, cuatro disposiciones adicionales, una

disposicin transitoria, una disposicin derogatoria y tres disposiciones finales. A los cuatro
primeros anexos dedicados a la categora de los sistemas, las medidas de seguridad, la
auditora de la seguridad, y el glosario de trminos, se les une un quinto que establece un
modelo de clusula administrativa particular a incluir en las prescripciones administrativas
de los contratos correspondientes.
En este real decreto se concibe la seguridad como una actividad integral, en la que no
caben actuaciones puntuales o tratamientos coyunturales, debido a que la debilidad de
un sistema la determina su punto ms frgil y, a menudo, este punto es la coordinacin
entre medidas individualmente adecuadas pero deficientemente ensambladas. La
informacin tratada en los sistemas electrnicos a los que se refiere este real decreto
estar protegida teniendo en cuenta los criterios establecidos en la Ley Orgnica 15/1999,
de 13 de diciembre.
El presente real decreto se aprueba en aplicacin de lo dispuesto en la disposicin
final octava de la Ley 11/2007, de 22 de junio y, de acuerdo con lo dispuesto en el artculo42
apartado 3 y disposicin final primera de dicha norma, se ha elaborado con la participacin
de todas las Administraciones pblicas a las que les es de aplicacin, ha sido informado
favorablemente por la Comisin Permanente del Consejo Superior de Administracin
Electrnica, la Conferencia Sectorial de Administracin Pblica y la Comisin Nacional de
Administracin Local; y ha sido sometido al previo informe de la Agencia Espaola de
Proteccin de Datos. Asimismo, se ha sometido a la audiencia de los ciudadanos segn
las previsiones establecidas en el artculo 24 de la Ley 50/1997, de 27 de noviembre, del
Gobierno.
En su virtud, a propuesta de la Ministra de la Presidencia, de acuerdo con el Consejo
de Estado y previa deliberacin del Consejo de Ministros en su reunin del da 8 de enero
de 2010,
DISPONGO:
CAPTULO I
Disposiciones generales
Artculo 1. Objeto.
1. El presente real decreto tiene por objeto regular el Esquema Nacional de Seguridad
establecido en el artculo 42 de la Ley 11/2007, de 22 de junio, y determinar la poltica de
seguridad que se ha de aplicar en la utilizacin de los medios electrnicos a los que se
refiere la citada ley.
2. El Esquema Nacional de Seguridad est constituido por los principios bsicos y
requisitos mnimos requeridos para una proteccin adecuada de la informacin. Ser
aplicado por las Administraciones pblicas para asegurar el acceso, integridad,
disponibilidad, autenticidad, confidencialidad, trazabilidad y conservacin de los datos,
informaciones y servicios utilizados en medios electrnicos que gestionen en el ejercicio
de sus competencias.
A los efectos previstos en este real decreto, las definiciones, palabras, expresiones y
trminos han de ser entendidos en el sentido indicado en el Glosario de Trminos incluido
en el anexo IV.
Artculo 3. mbito de aplicacin.
El mbito de aplicacin del presente real decreto ser el establecido en el artculo 2 de
la Ley 11/2007, de 22 de junio.
cve: BOE-A-2010-1330
Artculo 2. Definiciones y estndares.

Nm. 25
Sec. I. Pg. 8092
Estn excluidos del mbito de aplicacin indicado en el prrafo anterior los sistemas
que tratan informacin clasificada regulada por Ley 9/1968, de 5 de abril, de Secretos
Oficiales y normas de desarrollo.
CAPTULO II
Principios bsicos
Artculo 4. Principios bsicos del Esquema Nacional de Seguridad.
El objeto ltimo de la seguridad de la informacin es asegurar que una organizacin
administrativa podr cumplir sus objetivos utilizando sistemas de informacin. En las
decisiones en materia de seguridad debern tenerse en cuenta los siguientes principios
bsicos:
a)
b)
c)
d)
e)
f)
Seguridad integral.
Gestin de riesgos.
Prevencin, reaccin y recuperacin.
Lneas de defensa.
Reevaluacin peridica.
Funcin diferenciada.
Artculo 5. La seguridad como un proceso integral.

1. La seguridad se entender como un proceso integral constituido por todos los
elementos tcnicos, humanos, materiales y organizativos, relacionados con el sistema. La
aplicacin del Esquema Nacional de Seguridad estar presidida por este principio, que
excluye cualquier actuacin puntual o tratamiento coyuntural.
2. Se prestar la mxima atencin a la concienciacin de las personas que intervienen
en el proceso y a sus responsables jerrquicos, para que, ni la ignorancia, ni la falta de
organizacin y coordinacin, ni instrucciones inadecuadas, sean fuentes de riesgo para la
seguridad.
Artculo 6. Gestin de la seguridad basada en los riesgos.
1. El anlisis y gestin de riesgos ser parte esencial del proceso de seguridad y
deber mantenerse permanentemente actualizado.
2. La gestin de riesgos permitir el mantenimiento de un entorno controlado,
minimizando los riesgos hasta niveles aceptables. La reduccin de estos niveles se
realizar mediante el despliegue de medidas de seguridad, que establecer un equilibrio
entre la naturaleza de los datos y los tratamientos, los riesgos a los que estn expuestos
y las medidas de seguridad.
1. La seguridad del sistema debe contemplar los aspectos de prevencin, deteccin

y correccin, para conseguir que las amenazas sobre el mismo no se materialicen, no
afecten gravemente a la informacin que maneja, o los servicios que se prestan.
2. Las medidas de prevencin deben eliminar o, al menos reducir, la posibilidad de
que las amenazas lleguen a materializarse con perjuicio para el sistema. Estas medidas
de prevencin contemplarn, entre otras, la disuasin y la reduccin de la exposicin.
3. Las medidas de deteccin estarn acompaadas de medidas de reaccin, de
forma que los incidentes de seguridad se atajen a tiempo.
4. Las medidas de recuperacin permitirn la restauracin de la informacin y los
servicios, de forma que se pueda hacer frente a las situaciones en las que un incidente de
seguridad inhabilite los medios habituales.
5. Sin merma de los dems principios bsicos y requisitos mnimos establecidos, el
sistema garantizar la conservacin de los datos e informaciones en soporte electrnico.
cve: BOE-A-2010-1330
Artculo 7. Prevencin, reaccin y recuperacin.

Nm. 25
Sec. I. Pg. 8093
De igual modo, el sistema mantendr disponibles los servicios durante todo el ciclo
vital de la informacin digital, a travs de una concepcin y procedimientos que sean la
base para la preservacin del patrimonio digital.
Artculo 8. Lneas de defensa.
1. El sistema ha de disponer de una estrategia de proteccin constituida por mltiples
capas de seguridad, dispuesta de forma que, cuando una de las capas falle, permita:
a) Ganar tiempo para una reaccin adecuada frente a los incidentes que no han
podido evitarse.
b) Reducir la probabilidad de que el sistema sea comprometido en su conjunto.
c) Minimizar el impacto final sobre el mismo.
2. Las lneas de defensa han de estar constituidas por medidas de naturaleza
organizativa, fsica y lgica.
Artculo 9. Reevaluacin peridica.
Las medidas de seguridad se reevaluarn y actualizarn peridicamente, para adecuar
su eficacia a la constante evolucin de los riesgos y sistemas de proteccin, llegando
incluso a un replanteamiento de la seguridad, si fuese necesario.
Artculo 10. La seguridad como funcin diferenciada.
En los sistemas de informacin se diferenciar el responsable de la informacin, el
responsable del servicio y el responsable de la seguridad.
El responsable de la informacin determinar los requisitos de la informacin tratada;
el responsable del servicio determinar los requisitos de los servicios prestados; y el
responsable de seguridad determinar las decisiones para satisfacer los requisitos de
seguridad de la informacin y de los servicios.
La responsabilidad de la seguridad de los sistemas de informacin estar diferenciada
de la responsabilidad sobre la prestacin de los servicios.
La poltica de seguridad de la organizacin detallar las atribuciones de cada
responsable y los mecanismos de coordinacin y resolucin de conflictos.
CAPTULO III
Requisitos mnimos
Artculo 11. Requisitos mnimos de seguridad.
a)
b)
c)
d)
e)
f)
g)
h)
i)
j)
k)
Organizacin e implantacin del proceso de seguridad.

Anlisis y gestin de los riesgos.
Gestin de personal.
Profesionalidad.
Autorizacin y control de los accesos.
Proteccin de las instalaciones.
Adquisicin de productos.
Seguridad por defecto.
Integridad y actualizacin del sistema.
Proteccin de la informacin almacenada y en trnsito.
Prevencin ante otros sistemas de informacin interconectados.
cve: BOE-A-2010-1330
1. Todos los rganos superiores de las Administraciones pblicas debern disponer

formalmente de su poltica de seguridad, que ser aprobada por el titular del rgano
superior correspondiente. Esta poltica de seguridad, se establecer en base a los principios
bsicos indicados y se desarrollar aplicando los siguientes requisitos mnimos:

Nm. 25

l)
m)
n)
o)
Sec. I. Pg. 8094
Registro de actividad.
Incidentes de seguridad.
Continuidad de la actividad.
Mejora continua del proceso de seguridad.
2. A los efectos indicados en el apartado anterior, se considerarn rganos superiores,

los responsables directos de la ejecucin de la accin del gobierno, central, autonmico o
local, en un sector de actividad especfico, de acuerdo con lo establecido en la Ley 6/1997,
de 14 de abril, de organizacin y funcionamiento de la Administracin General del Estado
y Ley 50/1997, de 27 de noviembre, del Gobierno; los estatutos de autonoma
correspondientes y normas de desarrollo; y la Ley 7/1985, de 2 de abril, reguladora de las
bases del Rgimen Local, respectivamente.
Los municipios podrn disponer de una poltica de seguridad comn elaborada por la
Diputacin, Cabildo, Consejo Insular u rgano unipersonal correspondiente de aquellas
otras corporaciones de carcter representativo a las que corresponda el gobierno y la
administracin autnoma de la provincia o, en su caso, a la entidad comarcal correspondiente
a la que pertenezcan.
3. Todos estos requisitos mnimos se exigirn en proporcin a los riesgos identificados
en cada sistema, pudiendo algunos no requerirse en sistemas sin riesgos significativos, y
se cumplirn de acuerdo con lo establecido en el artculo 27.
Artculo 12. Organizacin e implantacin del proceso de seguridad.
La seguridad deber comprometer a todos los miembros de la organizacin. La poltica
de seguridad segn se detalla en el anexo II, seccin 3.1, deber identificar unos claros
responsables de velar por su cumplimiento y ser conocida por todos los miembros de la
organizacin administrativa.
Artculo 13. Anlisis y gestin de los riesgos.
1. Cada organizacin que desarrolle e implante sistemas para el tratamiento de la
informacin y las comunicaciones realizar su propia gestin de riesgos.
2. Esta gestin se realizar por medio del anlisis y tratamiento de los riesgos a los
que est expuesto el sistema. Sin perjuicio de lo dispuesto en el anexo II, se emplear
alguna metodologa reconocida internacionalmente.
3. Las medidas adoptadas para mitigar o suprimir los riesgos debern estar justificadas
y, en todo caso, existir una proporcionalidad entre ellas y los riesgos.
Artculo 14. Gestin de personal.
Artculo 15. Profesionalidad.

1. La seguridad de los sistemas estar atendida, revisada y auditada por personal
cualificado, dedicado e instruido en todas las fases de su ciclo de vida: instalacin,
mantenimiento, gestin de incidencias y desmantelamiento.
cve: BOE-A-2010-1330
1. Todo el personal relacionado con la informacin y los sistemas deber ser formado
e informado de sus deberes y obligaciones en materia de seguridad. Sus actuaciones
deben ser supervisadas para verificar que se siguen los procedimientos establecidos.
2. El personal relacionado con la informacin y los sistemas, ejercitar y aplicar los
principios de seguridad en el desempeo de su cometido.
3. El significado y alcance del uso seguro del sistema se concretar y plasmar en
unas normas de seguridad.
4. Para corregir, o exigir responsabilidades en su caso, cada usuario que acceda a la
informacin del sistema debe estar identificado de forma nica, de modo que se sepa, en
todo momento, quin recibe derechos de acceso, de qu tipo son stos, y quin ha
realizado determinada actividad.

Sec. I. Pg. 8095
2. El personal de las Administraciones pblicas recibir la formacin especfica

necesaria para garantizar la seguridad de las tecnologas de la informacin aplicables a
los sistemas y servicios de la Administracin.
3. Las Administraciones pblicas exigirn, de manera objetiva y no discriminatoria,
que las organizaciones que les presten servicios de seguridad cuenten con unos niveles
idneos de gestin y madurez en los servicios prestados.
Artculo 16. Autorizacin y control de los accesos.
El acceso al sistema de informacin deber ser controlado y limitado a los usuarios,
procesos, dispositivos y otros sistemas de informacin, debidamente autorizados,
restringiendo el acceso a las funciones permitidas.
Artculo 17. Proteccin de las instalaciones.
Los sistemas se instalarn en reas separadas, dotadas de un procedimiento de
control de acceso. Como mnimo, las salas deben estar cerradas y disponer de un control
de llaves.
Artculo 18. Adquisicin de productos de seguridad.
1. En la adquisicin de productos de seguridad de las tecnologas de la informacin
y comunicaciones que vayan a ser utilizados por las Administraciones pblicas se valorarn
positivamente aquellos que tengan certificada la funcionalidad de seguridad relacionada
con el objeto de su adquisicin.
2. La certificacin indicada en el apartado anterior deber estar de acuerdo con las
normas y estndares de mayor reconocimiento internacional, en el mbito de la seguridad
funcional.
3. El Organismo de Certificacin del Esquema Nacional de Evaluacin y Certificacin
de Seguridad de las Tecnologas de la Informacin, constituido al amparo de lo dispuesto
en el artculo 2.2.c) del Real Decreto 421/2004, de 12 de marzo, y regulado por la orden
PRE/2740/2007, de 19 de septiembre, dentro de sus competencias, determinar el criterio
a cumplir en funcin del uso previsto del producto a que se refiera, en relacin con el nivel
de evaluacin, otras certificaciones de seguridad adicionales que se requieran
normativamente, as como, excepcionalmente, en los casos en que no existan productos
certificados. El proceso indicado, se efectuar teniendo en cuenta los criterios y
metodologas de evaluacin, determinados por las normas internacionales que recoge la
orden ministerial citada.
Artculo 19. Seguridad por defecto.
Los sistemas deben disearse y configurarse de forma que garanticen la seguridad por
defecto:
a) El sistema proporcionar la mnima funcionalidad requerida para que la organizacin
slo alcance sus objetivos, y no alcance ninguna otra funcionalidad adicional.
b) Las funciones de operacin, administracin y registro de actividad sern las
mnimas necesarias, y se asegurar que slo son accesibles por las personas, o desde
emplazamientos o equipos, autorizados, pudiendo exigirse en su caso restricciones de
horario y puntos de acceso facultados.
c) En un sistema de explotacin se eliminarn o desactivarn, mediante el control de
la configuracin, las funciones que no sean de inters, sean innecesarias e, incluso,
aquellas que sean inadecuadas al fin que se persigue.
d) El uso ordinario del sistema ha de ser sencillo y seguro, de forma que una utilizacin
insegura requiera de un acto consciente por parte del usuario.
Artculo 20. Integridad y actualizacin del sistema.
1. Todo elemento fsico o lgico requerir autorizacin formal previa a su instalacin
en el sistema.
cve: BOE-A-2010-1330
Nm. 25

Sec. I. Pg. 8096
2. Se deber conocer en todo momento el estado de seguridad de los sistemas, en

relacin a las especificaciones de los fabricantes, a las vulnerabilidades y a las
actualizaciones que les afecten, reaccionando con diligencia para gestionar el riesgo a la
vista del estado de seguridad de los mismos.
Artculo 21. Proteccin de informacin almacenada y en trnsito.
1. En la estructura y organizacin de la seguridad del sistema, se prestar especial
atencin a la informacin almacenada o en trnsito a travs de entornos inseguros. Tendrn
la consideracin de entornos inseguros los equipos porttiles, asistentes personales
(PDA), dispositivos perifricos, soportes de informacin y comunicaciones sobre redes
abiertas o con cifrado dbil.
2. Forman parte de la seguridad los procedimientos que aseguren la recuperacin y
conservacin a largo plazo de los documentos electrnicos producidos por las
Administraciones pblicas en el mbito de sus competencias.
3. Toda informacin en soporte no electrnico, que haya sido causa o consecuencia
directa de la informacin electrnica a la que se refiere el presente real decreto, deber
estar protegida con el mismo grado de seguridad que sta. Para ello se aplicarn las
medidas que correspondan a la naturaleza del soporte en que se encuentren, de
conformidad con las normas de aplicacin a la seguridad de los mismos.
Artculo 22. Prevencin ante otros sistemas de informacin interconectados.
El sistema ha de proteger el permetro, en particular, si se conecta a redes pblicas.
Se entender por red pblica de comunicaciones la red de comunicaciones electrnicas
que se utiliza, en su totalidad o principalmente, para la prestacin de servicios de
comunicaciones electrnicas disponibles para el pblico, de conformidad a la definicin
establecida en el apartado 26 del anexo II, de la Ley 32/2003, de 3 de noviembre, General
de Telecomunicaciones. En todo caso se analizarn los riesgos derivados de la interconexin
del sistema, a travs de redes, con otros sistemas, y se controlar su punto de unin.
Artculo 23. Registro de actividad.
Con la finalidad exclusiva de lograr el cumplimiento del objeto del presente real decreto,
con plenas garantas del derecho al honor, a la intimidad personal y familiar y a la propia
imagen de los afectados, y de acuerdo con la normativa sobre proteccin de datos
personales, de funcin pblica o laboral, y dems disposiciones que resulten de aplicacin,
se registrarn las actividades de los usuarios, reteniendo la informacin necesaria para
monitorizar, analizar, investigar y documentar actividades indebidas o no autorizadas,
permitiendo identificar en cada momento a la persona que acta.
Artculo 24. Incidentes de seguridad.
1. Se establecer un sistema de deteccin y reaccin frente a cdigo daino.
2. Se registrarn los incidentes de seguridad que se produzcan y las acciones de
tratamiento que se sigan. Estos registros se emplearn para la mejora continua de la
seguridad del sistema.
Artculo 25. Continuidad de la actividad.
Los sistemas dispondrn de copias de seguridad y establecern los mecanismos
necesarios para garantizar la continuidad de las operaciones, en caso de prdida de los
medios habituales de trabajo.
Artculo 26. Mejora continua del proceso de seguridad.
El proceso integral de seguridad implantado deber ser actualizado y mejorado de
forma continua. Para ello, se aplicarn los criterios y mtodos reconocidos en la prctica
nacional e internacional relativos a gestin de las tecnologas de la informacin.
cve: BOE-A-2010-1330
Nm. 25

Sec. I. Pg. 8097
Artculo 27. Cumplimiento de requisitos mnimos.

1. Para dar cumplimiento a los requisitos mnimos establecidos en el presente real
decreto, las Administraciones pblicas aplicarn las medidas de seguridad indicadas en el
Anexo II, teniendo en cuenta:
a) Los activos que constituyen el sistema.
b) La categora del sistema, segn lo previsto en el artculo 43.
c) Las decisiones que se adopten para gestionar los riesgos identificados.
2. Cuando un sistema al que afecte el presente real decreto maneje datos de carcter
personal le ser de aplicacin lo dispuesto en la Ley Orgnica 15/1999, de 13 de diciembre,
y normativa de desarrollo, sin perjuicio de los requisitos establecidos en el Esquema
Nacional de Seguridad.
3. Los medidas a las que se refieren los apartados 1 y 2 tendrn la condicin de
mnimos exigibles, y podrn ser ampliados por causa de la concurrencia indicada o del
prudente arbitrio del responsable de la informacin, habida cuenta del estado de la
tecnologa, la naturaleza de los servicios prestados y la informacin manejada, y los riesgos
a que estn expuestos.
Artculo 28. Infraestructuras y servicios comunes.
La utilizacin de infraestructuras y servicios comunes reconocidos en las Administraciones
Pblicas facilitar el cumplimiento de los principios bsicos y los requisitos mnimos exigidos
en el presente real decreto en condiciones de mejor eficiencia. Los supuestos concretos de
utilizacin de estas infraestructuras y servicios comunes sern determinados por cada
Administracin.
Artculo 29. Guas de seguridad.
Para el mejor cumplimiento de lo establecido en el Esquema Nacional de Seguridad,
el Centro Criptolgico Nacional, en el ejercicio de sus competencias, elaborar y difundir
las correspondientes guas de seguridad de las tecnologas de la informacin y las
comunicaciones.
Artculo 30. Sistemas de informacin no afectados.
Las Administraciones pblicas podrn determinar aquellos sistemas de informacin a
los que no les sea de aplicacin lo dispuesto en el presente de real decreto por tratarse de
sistemas no relacionados con el ejercicio de derechos ni con el cumplimiento de deberes
por medios electrnicos ni con el acceso por medios electrnicos de los ciudadanos a la
informacin y al procedimiento administrativo, de acuerdo con lo previsto en la Ley 11/2007,
de 22 de junio.
CAPTULO IV
Comunicaciones electrnicas
Artculo 31. Condiciones tcnicas de seguridad de las comunicaciones electrnicas.
1. Las condiciones tcnicas de seguridad de las comunicaciones electrnicas en lo
relativo a la constancia de la transmisin y recepcin, de sus fechas, del contenido integro
de las comunicaciones y la identificacin fidedigna del remitente y destinatario de las
mismas, segn lo establecido en la Ley 11/2007, de 22 de junio, sern implementadas de
acuerdo con lo establecido en el Esquema Nacional de Seguridad.
2. Las comunicaciones realizadas en los trminos indicados en el apartado anterior,
tendrn el valor y la eficacia jurdica que corresponda a su respectiva naturaleza, de
conformidad con la legislacin que resulte de aplicacin.
cve: BOE-A-2010-1330
Nm. 25

Sec. I. Pg. 8098
Artculo 32. Requerimientos tcnicos de notificaciones y publicaciones electrnicas.

1. Las notificaciones y publicaciones electrnicas de resoluciones y actos administrativos
se realizarn de forma que cumplan, de acuerdo con lo establecido en el presente real
decreto, las siguientes exigencias tcnicas:
a) Aseguren la autenticidad del organismo que lo publique.
b) Aseguren la integridad de la informacin publicada.
c) Dejen constancia de la fecha y hora de la puesta a disposicin del interesado de
la resolucin o acto objeto de publicacin o notificacin, as como del acceso a su
contenido.
d) Aseguren la autenticidad del destinatario de la publicacin o notificacin.
Artculo 33. Firma electrnica.
1. Los mecanismos de firma electrnica se aplicarn en los trminos indicados en el
Anexo II de esta norma y de acuerdo con lo preceptuado en la poltica de firma electrnica
y de certificados, segn se establece en el Esquema Nacional de Interoperabilidad.
2. La poltica de firma electrnica y de certificados concretar los procesos de
generacin, validacin y conservacin de firmas electrnicas, as como las caractersticas
y requisitos exigibles a los sistemas de firma electrnica, los certificados, los servicios de
sellado de tiempo, y otros elementos de soporte de las firmas, sin perjuicio de lo previsto
en el Anexo II, que deber adaptarse a cada circunstancia.
CAPTULO V
Auditora de la seguridad
Artculo 34. Auditora de la seguridad.
1. Los sistemas de informacin a los que se refiere el presente real decreto sern
objeto de una auditora regular ordinaria, al menos cada dos aos, que verifique el
cumplimiento de los requerimientos del presente Esquema Nacional de Seguridad.
Con carcter extraordinario, deber realizarse dicha auditora siempre que se
produzcan modificaciones sustanciales en el sistema de informacin, que puedan repercutir
en las medidas de seguridad requeridas. La realizacin de la auditoria extraordinaria
determinar la fecha de cmputo para el clculo de los dos aos, establecidos para la
realizacin de la siguiente auditora regular ordinaria, indicados en el prrafo anterior.
2. Esta auditora se realizar en funcin de la categora del sistema, determinada
segn lo dispuesto en el anexo I y de acuerdo con lo previsto en el anexo III.
3. En el marco de lo dispuesto en el artculo 39, de la ley 11/2007, de 22 de junio, la
auditora profundizar en los detalles del sistema hasta el nivel que considere que proporciona
evidencia suficiente y relevante, dentro del alcance establecido para la auditora.
4. En la realizacin de esta auditora se utilizarn los criterios, mtodos de trabajo y
de conducta generalmente reconocidos, as como la normalizacin nacional e internacional
aplicables a este tipo de auditoras de sistemas de informacin.
5. El informe de auditora deber dictaminar sobre el grado de cumplimiento del
presente real decreto, identificar sus deficiencias y sugerir las posibles medidas correctoras
o complementarias necesarias, as como las recomendaciones que se consideren
oportunas. Deber, igualmente, incluir los criterios metodolgicos de auditora utilizados,
el alcance y el objetivo de la auditora, y los datos, hechos y observaciones en que se
basen las conclusiones formuladas.
6. Los informes de auditora sern presentados al responsable del sistema y al
responsable de seguridad competentes. Estos informes sern analizados por este ltimo
que presentar sus conclusiones al responsable del sistema para que adopte las medidas
correctoras adecuadas.
cve: BOE-A-2010-1330
Nm. 25

Sec. I. Pg. 8099
7. En el caso de los sistemas de categora ALTA, visto el dictamen de auditora, el

responsable del sistema podr acordar la retirada de operacin de alguna informacin, de
algn servicio o del sistema en su totalidad, durante el tiempo que estime prudente y hasta
la satisfaccin de las modificaciones prescritas.
8. Los informes de auditora podrn ser requeridos por los responsables de cada
organizacin con competencias sobre seguridad de las tecnologas de la informacin.
CAPITULO VI
Estado de seguridad de los sistemas
Artculo 35. Informe del estado de la seguridad.
El Comit Sectorial de Administracin Electrnica articular los procedimientos
necesarios para conocer regularmente el estado de las principales variables de la seguridad
en los sistemas de informacin a los que se refiere el presente real decreto, de forma que
permita elaborar un perfil general del estado de la seguridad en las Administraciones
pblicas.
CAPTULO VII
Respuesta a incidentes de seguridad
Artculo 36. Capacidad de respuesta a incidentes de seguridad de la informacin.
El Centro Criptolgico Nacional (CCN) articular la respuesta a los incidentes de
seguridad en torno a la estructura denominada CCN-CERT (Centro Criptolgico NacionalComputer Emergency Reaction Team), que actuar sin perjuicio de las capacidades de
respuesta a incidentes de seguridad que pueda tener cada administracin pblica y de la
funcin de coordinacin a nivel nacional e internacional del CCN.
Artculo 37. Prestacin de servicios de respuesta a incidentes de seguridad a las
Administraciones pblicas.
1. De acuerdo con lo previsto en el artculo 36, el CCN-CERT prestar a las
Administraciones pblicas los siguientes servicios:
a) Soporte y coordinacin para el tratamiento de vulnerabilidades y la resolucin de
incidentes de seguridad que tengan la Administracin General del Estado, las
Administraciones de las comunidades autnomas, las entidades que integran la
Administracin Local y las Entidades de Derecho pblico con personalidad jurdica propia
vinculadas o dependientes de cualquiera de las administraciones indicadas.
El CCN-CERT, a travs de su servicio de apoyo tcnico y de coordinacin, actuar con
la mxima celeridad ante cualquier agresin recibida en los sistemas de informacin de las
Administraciones pblicas.
Para el cumplimiento de los fines indicados en los prrafos anteriores se podrn
recabar los informes de auditora de los sistemas afectados.
b) Investigacin y divulgacin de las mejores prcticas sobre seguridad de la
informacin entre todos los miembros de las Administraciones pblicas. Con esta finalidad,
las series de documentos CCN-STIC (Centro Criptolgico Nacional-Seguridad de las
Tecnologas de Informacin y Comunicaciones), elaboradas por el Centro Criptolgico
Nacional, ofrecern normas, instrucciones, guas y recomendaciones para aplicar el
Esquema Nacional de Seguridad y para garantizar la seguridad de los sistemas de
tecnologas de la informacin en la Administracin.
c) Formacin destinada al personal de la Administracin especialista en el campo de
la seguridad de las tecnologas de la informacin, al objeto de facilitar la actualizacin de
cve: BOE-A-2010-1330
Nm. 25

Sec. I. Pg. 8100
conocimientos del personal de la Administracin y de lograr la sensibilizacin y mejora de

sus capacidades para la deteccin y gestin de incidentes.
d) Informacin sobre vulnerabilidades, alertas y avisos de nuevas amenazas a los
sistemas de informacin, recopiladas de diversas fuentes de reconocido prestigio, incluidas
las propias.
2. El CCN desarrollar un programa que ofrezca la informacin, formacin,
recomendaciones y herramientas necesarias para que las Administraciones pblicas
puedan desarrollar sus propias capacidades de respuesta a incidentes de seguridad, y en
el que, aqul, ser coordinador a nivel pblico estatal.
CAPTULO VIII
Normas de conformidad
Artculo 38. Sedes y registros electrnicos.
La seguridad de las sedes y registros electrnicos, as como la del acceso electrnico
de los ciudadanos a los servicios pblicos, se regirn por lo establecido en el Esquema
Nacional de Seguridad.
Artculo 39. Ciclo de vida de servicios y sistemas.
Las especificaciones de seguridad se incluirn en el ciclo de vida de los servicios y
sistemas, acompaadas de los correspondientes procedimientos de control.
Artculo 40. Mecanismos de control.
Cada rgano de la Administracin pblica o Entidad de Derecho Pblico establecer
sus mecanismos de control para garantizar de forma real y efectiva el cumplimiento del
Esquema Nacional de Seguridad.
Artculo 41. Publicacin de conformidad.
Los rganos y Entidades de Derecho Pblico darn publicidad en las correspondientes
sedes electrnicas a las declaraciones de conformidad, y a los distintivos de seguridad de
los que sean acreedores, obtenidos respecto al cumplimiento del Esquema Nacional de
Seguridad.
CAPTULO IX
Actualizacin
Artculo 42. Actualizacin permanente.
El Esquema Nacional de Seguridad se deber mantener actualizado de manera
permanente. Se desarrollar y perfeccionar a lo largo del tiempo, en paralelo al progreso
de los servicios de Administracin electrnica, de la evolucin tecnolgica y nuevos
estndares internacionales sobre seguridad y auditora en los sistemas y tecnologas de la
informacin y a medida que vayan consolidndose las infraestructuras que le apoyan.
cve: BOE-A-2010-1330
Nm. 25

Nm. 25
Sec. I. Pg. 8101
CAPTULO X
Categorizacin de los sistemas de informacin
Artculo 43. Categoras.
1. La categora de un sistema de informacin, en materia de seguridad, modular el
equilibrio entre la importancia de la informacin que maneja, los servicios que presta y el
esfuerzo de seguridad requerido, en funcin de los riesgos a los que est expuesto, bajo
el criterio del principio de proporcionalidad.
2. La determinacin de la categora indicada en el apartado anterior se efectuar en
funcin de la valoracin del impacto que tendra un incidente que afectara a la seguridad
de la informacin o de los servicios con perjuicio para la disponibilidad, autenticidad,
integridad, confidencialidad o trazabilidad, como dimensiones de seguridad, siguiendo el
procedimiento establecido en el Anexo I.
3. La valoracin de las consecuencias de un impacto negativo sobre la seguridad de
la informacin y de los servicios se efectuar atendiendo a su repercusin en la capacidad
de la organizacin para el logro de sus objetivos, la proteccin de sus activos, el
cumplimiento de sus obligaciones de servicio, el respeto de la legalidad y los derechos de
los ciudadanos.
Artculo 44. Facultades.
1. La facultad para efectuar las valoraciones a las que se refiere el artculo 43, as
como la modificacin posterior, en su caso, corresponder, dentro del mbito de su
actividad, al responsable de cada informacin o servicio.
2. La facultad para determinar la categora del sistema corresponder al responsable
del mismo.
Disposicin adicional primera. Formacin.
El personal de las Administraciones pblicas recibir, de acuerdo con lo previsto en la
disposicin adicional segunda de la Ley 11/2007, de 22 de junio, la formacin necesaria
para garantizar el conocimiento del presente Esquema Nacional de Seguridad, a cuyo fin
los rganos responsables dispondrn lo necesario para que la formacin sea una realidad
efectiva.
Disposicin adicional segunda. Instituto Nacional de Tecnologas de la Comunicacin
(INTECO) y organismos anlogos.
El Instituto Nacional de Tecnologas de la Comunicacin (INTECO), como centro de
excelencia promovido por el Ministerio de Industria, Turismo y Comercio para el desarrollo
de la sociedad del conocimiento, podr desarrollar proyectos de innovacin y programas
de investigacin dirigidos a la mejor implantacin de las medidas de seguridad contempladas
en el presente real decreto.
Asimismo, las Administraciones pblicas podrn disponer de entidades anlogas para
llevar a cabo dichas actividades u otras adicionales en el mbito de sus competencias.
El Comit de Seguridad de la Informacin de las Administraciones Pblicas, dependiente

del Comit Sectorial de Administracin electrnica, contar con un representante de cada
una de las entidades presentes en dicho Comit Sectorial. Tendr funciones de cooperacin
en materias comunes relacionadas con la adecuacin e implantacin de lo previsto en el
Esquema Nacional de Seguridad y en las normas, instrucciones, guas y recomendaciones
dictadas para su aplicacin.
cve: BOE-A-2010-1330
Disposicin adicional tercera. Comit de Seguridad de la Informacin de las Administraciones

Pblicas.

Sec. I. Pg. 8102
Disposicin adicional cuarta. Modificacin del Reglamento de desarrollo de la Ley

Orgnica 15/1999, de Proteccin de Datos de Carcter Personal, aprobado por el Real
Decreto 1720/2007, de 21 de diciembre.
Se modifica la letra b) del apartado 5 del artculo 81 del Reglamento de desarrollo de
la Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter Personal
aprobado por Real Decreto 1720/2007, de 21 de diciembre, que pasa a tener la siguiente
redaccin:
b) Se trate de ficheros o tratamientos en los que de forma incidental o
accesoria se contengan aquellos datos sin guardar relacin con su finalidad.
Disposicin transitoria. Adecuacin de sistemas.
1. Los sistemas existentes a la entrada en vigor del presente real decreto se adecuarn
al Esquema Nacional de Seguridad de forma que permitan el cumplimiento de lo establecido
en la disposicin final tercera de la Ley 11/2007, de 22 de junio. Los nuevos sistemas
aplicarn lo establecido en el presente real decreto desde su concepcin.
2. Si a los doce meses de la entrada en vigor del Esquema Nacional de Seguridad
hubiera circunstancias que impidan la plena aplicacin de lo exigido en el mismo, se
dispondr de un plan de adecuacin que marque los plazos de ejecucin los cuales, en
ningn caso, sern superiores a 48 meses desde la entrada en vigor.
El plan indicado en el prrafo anterior ser elaborado con la antelacin suficiente y
aprobado por los rganos superiores competentes.
3. Mientras no se haya aprobado una poltica de seguridad por el rgano superior
competente sern de aplicacin las polticas de seguridad que puedan existir a nivel de
rgano directivo.
Disposicin derogatoria nica.
Quedan derogadas las disposiciones de igual o inferior rango que se opongan a lo
dispuesto en el presente reglamento.
Disposicin final primera. Ttulo habilitante.
El presente real decreto se dicta en virtud de lo establecido en el artculo 149.1.18. de
la Constitucin, que atribuye al Estado la competencia sobre las bases del rgimen jurdico
de las Administraciones pblicas.
Disposicin final segunda. Desarrollo normativo.
Se autoriza al titular del Ministerio de la Presidencia, para dictar las disposiciones
necesarias para la aplicacin y desarrollo de lo establecido en el presente real decreto, sin
perjuicio de las competencias de las comunidades autnomas de desarrollo y ejecucin de
la legislacin bsica del Estado.
Disposicin final tercera. Entrada en vigor.
El presente real decreto entrar en vigor el da siguiente al de su publicacin en el
Boletn Oficial del Estado.
Dado en Madrid, el 8 de enero de 2010.
JUAN CARLOS R.
La Vicepresidenta Primera del Gobierno
y Ministra de la Presidencia,
MARA TERESA FERNNDEZ DE LA VEGA SANZ
cve: BOE-A-2010-1330
Nm. 25

Nm. 25
Sec. I. Pg. 8103
ANEXOS
ANEXO I
Categoras de los sistemas
1. Fundamentos para la determinacin de la categora de un sistema.
La determinacin de la categora de un sistema se basa en la valoracin del impacto
que tendra sobre la organizacin un incidente que afectara a la seguridad de la informacin
o de los sistemas, con repercusin en la capacidad organizativa para:
a)
b)
c)
d)
e)
Alcanzar sus objetivos.

Proteger los activos a su cargo.
Cumplir sus obligaciones diarias de servicio.
Respetar la legalidad vigente.
Respetar los derechos de las personas.
La determinacin de la categora de un sistema se realizar de acuerdo con lo

establecido en el presente real decreto, y ser de aplicacin a todos los sistemas empleados
para la prestacin de los servicios de la Administracin electrnica y soporte del
procedimiento administrativo general.
2. Dimensiones de la seguridad.
A fin de poder determinar el impacto que tendra sobre la organizacin un incidente
que afectara a la seguridad de la informacin o de los sistemas, y de poder establecer la
categora del sistema, se tendrn en cuenta las siguientes dimensiones de la seguridad,
que sern identificadas por sus correspondientes iniciales en maysculas:
a)
b)
c)
d)
e)
Disponibilidad [D].
Autenticidad [A].
Integridad [I].
Confidencialidad [C].
Trazabilidad [T].
3. Determinacin del nivel requerido en una dimensin de seguridad.

Una informacin o un servicio pueden verse afectados en una o ms de sus dimensiones
de seguridad. Cada dimensin de seguridad afectada se adscribir a uno de los siguientes
niveles: BAJO, MEDIO o ALTO. Si una dimensin de seguridad no se ve afectada, no se
adscribir a ningn nivel.
1. La reduccin de forma apreciable de la capacidad de la organizacin para atender

eficazmente con sus obligaciones corrientes, aunque estas sigan desempendose.
2. El sufrimiento de un dao menor por los activos de la organizacin.
3. El incumplimiento formal de alguna ley o regulacin, que tenga carcter de
subsanable.
4. Causar un perjuicio menor a algn individuo, que an siendo molesto pueda ser
fcilmente reparable.
5. Otros de naturaleza anloga.
cve: BOE-A-2010-1330
a) Nivel BAJO. Se utilizar cuando las consecuencias de un incidente de seguridad

que afecte a alguna de las dimensiones de seguridad supongan un perjuicio limitado sobre
las funciones de la organizacin, sobre sus activos o sobre los individuos afectados.
Se entender por perjuicio limitado:

Sec. I. Pg. 8104
b) Nivel MEDIO. Se utilizar cuando las consecuencias de un incidente de seguridad

que afecte a alguna de las dimensiones de seguridad supongan un perjuicio grave sobre
las funciones de la organizacin, sobre sus activos o sobre los individuos afectados.
Se entender por perjuicio grave:
1. La reduccin significativa la capacidad de la organizacin para atender eficazmente
a sus obligaciones fundamentales, aunque estas sigan desempendose.
2. El sufrimiento de un dao significativo por los activos de la organizacin.
3. El incumplimiento material de alguna ley o regulacin, o el incumplimiento formal
que no tenga carcter de subsanable.
4. Causar un perjuicio significativo a algn individuo, de difcil reparacin.
c) Nivel ALTO. Se utilizar cuando las consecuencias de un incidente de seguridad
que afecte a alguna de las dimensiones de seguridad supongan un perjuicio muy grave
sobre las funciones de la organizacin, sobre sus activos o sobre los individuos afectados.
Se entender por perjuicio muy grave:
1. La anulacin de la capacidad de la organizacin para atender a alguna de sus
obligaciones fundamentales y que stas sigan desempendose.
2. El sufrimiento de un dao muy grave, e incluso irreparable, por los activos de la
organizacin.
3. El incumplimiento grave de alguna ley o regulacin.
4. Causar un perjuicio grave a algn individuo, de difcil o imposible reparacin.
Cuando un sistema maneje diferentes informaciones y preste diferentes servicios, el
nivel del sistema en cada dimensin ser el mayor de los establecidos para cada informacin
y cada servicio.
4. Determinacin de la categora de un sistema de informacin.
1. Se definen tres categoras: BSICA, MEDIA y ALTA.
a) Un sistema de informacin ser de categora ALTA si alguna de sus dimensiones
de seguridad alcanza el nivel ALTO.
b) Un sistema de informacin ser de categora MEDIA si alguna de sus dimensiones
de seguridad alcanza el nivel MEDIO, y ninguna alcanza un nivel superior.
c) Un sistema de informacin ser de categora BSICA si alguna de sus dimensiones
de seguridad alcanza el nivel BAJO, y ninguna alcanza un nivel superior.
2. La determinacin de la categora de un sistema sobre la base de lo indicado en el
apartado anterior no implicar que se altere, por este hecho, el nivel de las dimensiones
de seguridad que no han influido en la determinacin de la categora del mismo.
5. Secuencia de actuaciones para determinar la categora de un sistema:
1. Identificacin del nivel correspondiente a cada informacin y servicio, en funcin
de las dimensiones de seguridad, teniendo en cuenta lo establecido en el apartado 3.
2. Determinacin de la categora del sistema, segn lo establecido en el apartado 4.
cve: BOE-A-2010-1330
Nm. 25

Nm. 25
Sec. I. Pg. 8105
ANEXO II
Medidas de seguridad
1. Disposiciones generales
1. Para lograr el cumplimiento de los principios bsicos y requisitos mnimos
establecidos, se aplicarn las medidas de seguridad indicadas en este anexo, las cuales
sern proporcionales a:
a) Las dimensiones de seguridad relevantes en el sistema a proteger.
b) La categora del sistema de informacin a proteger.
2. Las medidas de seguridad se dividen en tres grupos:
a) Marco organizativo [org]. Constituido por el conjunto de medidas relacionadas con
la organizacin global de la seguridad.
b) Marco operacional [op]. Formado por las medidas a tomar para proteger la
operacin del sistema como conjunto integral de componentes para un fin.
c) Medidas de proteccin [mp]. Se centran en proteger activos concretos, segn su
naturaleza y la calidad exigida por el nivel de seguridad de las dimensiones afectadas.
2. Seleccin de medidas de seguridad
1. Para la seleccin de las medidas de seguridad se seguirn los pasos siguientes:
a) Identificacin de los tipos de activos presentes.
b) Determinacin de las dimensiones de seguridad relevantes, teniendo en cuenta lo
establecido en el anexo I.
c) Determinacin del nivel correspondiente a cada dimensin de seguridad, teniendo
en cuenta lo establecido en el anexo I.
d) Determinacin de la categora del sistema, segn lo establecido en el Anexo I.
e) Seleccin de las medidas de seguridad apropiadas de entre las contenidas en
este Anexo, de acuerdo con las dimensiones de seguridad y sus niveles, y, para
determinadas medidas de seguridad, de acuerdo con la categora del sistema.
2. A los efectos de facilitar el cumplimiento de lo dispuesto en este anexo, cuando en
un sistema de informacin existan sistemas que requieran la aplicacin de un nivel de
medidas de seguridad diferente al del sistema principal, podrn segregarse de este ltimo,
siendo de aplicacin en cada caso el nivel de medidas de seguridad correspondiente y
siempre que puedan delimitarse la informacin y los servicios afectados.
3. La relacin de medidas seleccionadas se formalizar en un documento denominado
Declaracin de Aplicabilidad, firmado por el responsable de la seguridad del sistema.
4. La correspondencia entre los niveles de seguridad exigidos en cada dimensin y
las medidas de seguridad, es la que se indica en la tabla siguiente:
Dimensiones
B
categora
categora
categora
categora
aplica
aplica
aplica
aplica
=
=
=
=
=
=
=
=
org
org.1
org.2
org.3
org.4
Marco organizativo
Poltica de seguridad
Normativa de seguridad
Procedimientos de seguridad
Proceso de autorizacin
++
=
op
op.pl
op.pl.1
op.pl.2
Marco operacional
Planificacin
Anlisis de riesgos
Arquitectura de seguridad
categora
categora
n.a.
aplica
+
=
cve: BOE-A-2010-1330
MEDIDAS DE SEGURIDAD
Afectadas

categora
D
categora
aplica
n.a.
n.a.
=
aplica
n.a.
=
=
aplica
AT
I CAT
I CAT
I CAT
I CAT
I CAT
I CAT
aplica
aplica
n.a.
aplica
aplica
aplica
aplica
=
=
aplica
=
+
+
+
=
=
=
=
++
++
=
categora
categora
categora
categora
categora
categora
categora
T
categora
T
categora
aplica
aplica
n.a.
aplica
n.a.
aplica
n.a.
n.a.
n.a.
n.a.
aplica
=
=
aplica
=
aplica
=
aplica
n.a.
aplica
n.a.
=
=
=
=
=
=
=
=
aplica
=
aplica
+
categora
categora
D
n.a.
n.a.
n.a.
aplica
aplica
n.a.
=
=
aplica
D
D
D
n.a.
n.a.
n.a.
aplica
n.a.
n.a.
=
aplica
aplica
categora
categora
n.a.
n.a.
n.a.
n.a.
aplica
aplica
categora
categora
categora
D
D
D
categora
D
aplica
aplica
aplica
aplica
aplica
n.a.
aplica
n.a.
=
=
=
+
=
aplica
=
n.a.
=
=
=
=
=
=
=
aplica
categora
categora
categora
categora
D
n.a.
aplica
aplica
aplica
n.a.
aplica
=
=
=
n.a.
=
=
=
=
aplica
categora
aplica
Sec. I. Pg. 8106
op.pl.3
op.pl.4
op.pl.5
op.acc
op.acc.1
op.acc.2
op.acc.3
op.acc.4
op.acc.5
op.acc.6
op.acc.7
op.exp
op.exp.1
op.exp.2
op.exp.3
op.exp.4
op.exp.5
op.exp.6
op.exp.7
op.exp.8
op.exp.9
op.exp.10
op.exp.11
op.ext
op.ext.1
op.ext.2
op.ext.9
op.cont
op.cont.1
op.cont.2
op.cont.3
op.mon
op.mon.1
op.mon.2
Adquisicin de nuevos componentes

Dimensionamiento / Gestin de capacidades
Componentes certificados
Control de acceso
Identificacin
Requisitos de acceso
Segregacin de funciones y tareas
Proceso de gestin de derechos de acceso
Mecanismo de autenticacin
Acceso local (local logon)
Acceso remoto (remote login)
Explotacin
Inventario de activos
Configuracin de seguridad
Gestin de la configuracin
Mantenimiento
Gestin de cambios
Proteccin frente a cdigo daino
Gestin de incidencias
Registro de la actividad de los usuarios
Registro de la gestin de incidencias
Proteccin de los registros de actividad
Proteccin de claves criptogrficas
Servicios externos
Contratacin y acuerdos de nivel de servicio
Gestin diaria
Medios alternativos
Continuidad del servicio
Anlisis de impacto
Plan de continuidad
Pruebas peridicas
Monitorizacin del sistema
Deteccin de intrusin
Sistema de mtricas
mp
mp.if
mp.if.1
mp.if.2
mp.if.3
mp.if.4
mp.if.5
mp.if.6
mp.if.7
mp.if.9
mp.per
mp.per.1
mp.per.2
mp.per.3
mp.per.4
mp.per.9
mp.eq
mp.eq.1
Medidas de proteccin
Proteccin de las instalaciones e infraestructuras
reas separadas y con control de acceso
Identificacin de las personas
Acondicionamiento de los locales
Energa elctrica
Proteccin frente a incendios
Proteccin frente a inundaciones
Registro de entrada y salida de equipamiento
Instalaciones alternativas
Gestin del personal
Caracterizacin del puesto de trabajo
Deberes y obligaciones
Concienciacin
Formacin
Personal alternativo
Proteccin de los equipos
Puesto de trabajo despejado
cve: BOE-A-2010-1330
Nm. 25

Nm. 25
A
categora
D
n.a.
aplica
n.a.
aplica
=
aplica
+
+
=
categora
C
IA
categora
D
aplica
n.a.
aplica
n.a.
n.a.
=
aplica
+
n.a.
n.a.
+
+
++
aplica
aplica
C
IC
categora
categora
C
aplica
n.a.
aplica
aplica
n.a.
=
aplica
=
=
aplica
=
+
=
=
=
categora
categora
n.a.
aplica
aplica
+
=
++
categora
C
C
IA
T
C
D
aplica
aplica
n.a.
aplica
n.a.
aplica
n.a.
=
+
n.a.
+
n.a.
=
aplica
=
=
aplica
++
aplica
=
=
categora
categora
D
D
aplica
aplica
n.a.
n.a.
=
=
aplica
n.a.
=
=
+
aplica
mp.eq.2
mp.eq.3
mp.eq.9
mp.com
mp.com.1
mp.com.2
mp.com.3
mp.com.4
mp.com.9
mp.si
mp.si.1
mp.si.2
mp.si.3
mp.si.4
mp.si.5
mp.sw
mp.sw.1
mp.sw.2
mp.info
mp.info.1
mp.info.2
mp.info.3
mp.info.4
mp.info.5
mp.info.6
mp.info.9
mp.s
mp.s.1
mp.s.2
mp.s.8
mp.s.9
Sec. I. Pg. 8107
Bloqueo de puesto de trabajo

Proteccin de equipos porttiles
Medios alternativos
Proteccin de las comunicaciones
Permetro seguro
Proteccin de la confidencialidad
Proteccin de la autenticidad y de la integridad
Segregacin de redes
Medios alternativos
Proteccin de los soportes de informacin
Etiquetado
Criptografa
Custodia
Transporte
Borrado y destruccin
Proteccin de las aplicaciones informticas
Desarrollo
Aceptacin y puesta en servicio
Proteccin de la informacin
Datos de carcter personal
Calificacin de la informacin
Cifrado
Firma electrnica
Sellos de tiempo
Limpieza de documentos
Copias de seguridad (backup)
Proteccin de los servicios
Proteccin del correo electrnico
Proteccin de servicios y aplicaciones web
Proteccin frente a la denegacin de servicio
Medios alternativos
En las tablas del presente Anexo se emplean las siguientes convenciones:

a) Para indicar que una determinada medida de seguridad se debe aplicar a una o
varias dimensiones de seguridad en algn nivel determinado se utiliza la voz aplica.
b) n.a. significa no aplica.
c) Para indicar que las exigencias de un nivel son iguales a los del nivel inferior se
utiliza el signo =.
d) Para indicar el incremento de exigencias graduado en funcin de del nivel de la
dimensin de seguridad, se utilizan los signos + y ++.
e) Para indicar que una medida protege especficamente una cierta dimensin de
seguridad, sta se explicita mediante su inicial.
3. Marco organizativo [org]
3.1 Poltica de seguridad [org.1].

dimensiones
categora
Todas
bsica
media
alta
aplica
cve: BOE-A-2010-1330
El marco organizativo est constituido por un conjunto de medidas relacionadas con la

organizacin global de la seguridad.

Nm. 25
Sec. I. Pg. 8108
La poltica de seguridad ser aprobada por el rgano superior competente que

corresponda, de acuerdo con lo establecido en el artculo 11, y se plasmar en un
documento escrito, en el que, de forma clara, se precise, al menos, lo siguiente:
a) Los objetivos o misin de la organizacin.
b) El marco legal y regulatorio en el que se desarrollarn las actividades.
c) Los roles o funciones de seguridad, definiendo para cada uno, los deberes y
responsabilidades del cargo, as como el procedimiento para su designacin y renovacin.
d) La estructura del comit o los comits para la gestin y coordinacin de la
seguridad, detallando su mbito de responsabilidad, los miembros y la relacin con otros
elementos de la organizacin.
e) Las directrices para la estructuracin de la documentacin de seguridad del
sistema, su gestin y acceso.
La poltica de seguridad debe referenciar y ser coherente con lo establecido en el
Documento de Seguridad que exige el Real Decreto 1720/2007, en lo que corresponda.
3.2 Normativa de seguridad [org.2].
dimensiones
categora
Todas
bsica
media
alta
aplica
Se dispondr de una serie de documentos que describan:

a) El uso correcto de equipos, servicios e instalaciones.
b) Lo que se considerar uso indebido.
c) La responsabilidad del personal con respecto al cumplimiento o violacin de estas
normas: derechos, deberes y medidas disciplinarias de acuerdo con la legislacin
vigente.
3.3 Procedimientos de seguridad [org.3].
dimensiones
categora
Todas
bsica
media
alta
aplica
Se dispondr de una serie de documentos que detallen de forma clara y precisa:

a) Cmo llevar a cabo las tareas habituales.
b) Quin debe hacer cada tarea.
c) Cmo identificar y reportar comportamientos anmalos.
3.4 Proceso de autorizacin [org.4].
categora
Todas
bsica
media
alta
aplica
Se establecer un proceso formal de autorizaciones que cubra todos los elementos del
sistema de informacin:
a) Utilizacin de instalaciones, habituales y alternativas.
b) Entrada de equipos en produccin, en particular, equipos que involucren
criptografa.
cve: BOE-A-2010-1330
dimensiones

Nm. 25
Sec. I. Pg. 8109
c) Entrada de aplicaciones en produccin.

d) Establecimiento de enlaces de comunicaciones con otros sistemas.
e) Utilizacin de medios de comunicacin, habituales y alternativos.
f) Utilizacin de soportes de informacin.
g) Utilizacin de equipos mviles. Se entender por equipos mviles ordenadores
porttiles, PDA, u otros de naturaleza anloga.
4. Marco operacional [op]
El marco operacional est constituido por las medidas a tomar para proteger la
operacin del sistema como conjunto integral de componentes para un fin.
4.1 Planificacin [op.pl].
4.1.1 Anlisis de riesgos [op.pl.1].
dimensiones
categora
Todas
bsica
media
alta
aplica
++
Categora BSICA
Bastar un anlisis informal, realizado en lenguaje natural. Es decir, una exposicin
textual que describa los siguientes aspectos:
a)
b)
c)
d)
Identifique los activos ms valiosos del sistema.

Identifique las amenazas ms probables.
Identifique las salvaguardas que protegen de dichas amenazas.
Identifique los principales riesgos residuales.
Categora MEDIA
Se deber realizar un anlisis semi-formal, usando un lenguaje especfico, con un
catlogo bsico de amenazas y una semntica definida. Es decir, una presentacin con
tablas que describa los siguientes aspectos:
a)
b)
c)
d)
Identifique y valore cualitativamente los activos ms valiosos del sistema.

Identifique y cuantifique las amenazas ms probables.
Identifique y valore las salvaguardas que protegen de dichas amenazas.
Identifique y valore el riesgo residual.
Categora ALTA
Se deber realizar un anlisis formal, usando un lenguaje especfico, con un fundamento
matemtico reconocido internacionalmente. El anlisis deber cubrir los siguientes
aspectos:
Identifique y valore cualitativamente los activos ms valiosos del sistema.
Identifique y cuantifique las amenazas posibles.
Identifique las vulnerabilidades habilitantes de dichas amenazas.
Identifique y valore las salvaguardas adecuadas.
Identifique y valore el riesgo residual.
4.1.2 Arquitectura de seguridad [op.pl.2].

dimensiones
categora
todas
bsica
media
alta
aplica
cve: BOE-A-2010-1330
a)
b)
c)
d)
e)

Nm. 25
Sec. I. Pg. 8110
La seguridad del sistema ser objeto de un planteamiento integral detallando, al menos,

los siguientes aspectos:
a) Documentacin de las instalaciones:
1. reas.
2. Puntos de acceso.
b) Documentacin del sistema:
1. Equipos.
2. Redes internas y conexiones al exterior.
3. Puntos de acceso al sistema (puestos de trabajo y consolas de administracin).
c) Esquema de lneas de defensa:
1. Puntos de interconexin a otros sistemas o a otras redes, en especial si se trata
de Internet.
2. Cortafuegos, DMZ, etc.
3. Utilizacin de tecnologas diferentes para prevenir vulnerabilidades que pudieran
perforar simultneamente varias lneas de defensa.
d) Sistema de identificacin y autenticacin de usuarios:
1. Uso de claves concertadas, contraseas, tarjetas de identificacin, biometra, u
otras de naturaleza anloga.
2. Uso de ficheros o directorios para autenticar al usuario y determinar sus derechos
de acceso.
e) Controles tcnicos internos:
1. Validacin de datos de entrada, salida y datos intermedios.
f) Sistema de gestin con actualizacin y aprobacin peridica.
4.1.3 Adquisicin de nuevos componentes [op.pl.3].
dimensiones
categora
todas
bsica
media
alta
aplica
Se establecer un proceso formal para planificar la adquisicin de nuevos componentes

del sistema, proceso que:
a) Atender a las conclusiones del anlisis de riesgos: [op.pl.1].
b) Ser acorde a la arquitectura de seguridad escogida: [op.pl.2].
c) Contemplar las necesidades tcnicas, de formacin y de financiacin de forma
conjunta.
4.1.4 Dimensionamiento / gestin de capacidades [op.pl.4].
nivel
D
bajo
medio
alto
no aplica
aplica
Con carcter previo a la puesta en explotacin, se realizar un estudio previo que

cubrir los siguientes aspectos:
cve: BOE-A-2010-1330
dimensiones

Nm. 25
Sec. I. Pg. 8111
a) Necesidades de procesamiento.
b) Necesidades de almacenamiento de informacin: durante su procesamiento y
durante el periodo que deba retenerse.
d) Necesidades de comunicacin.
e) Necesidades de personal: cantidad y cualificacin profesional.
f) Necesidades de instalaciones y medios auxiliares.
4.1.5 Componentes certificados [op.pl.5].
dimensiones
categora
todas
bsica
media
alta
no aplica
no aplica
aplica
Se utilizarn preferentemente sistemas, productos o equipos cuyas funcionalidades de

seguridad y su nivel hayan sido evaluados conforme a normas europeas o internacionales
y que estn certificados por entidades independientes de reconocida solvencia.
Tendrn la consideracin de normas europeas o internacionales, ISO/IEC 15408 u
otras de naturaleza y calidad anlogas.
Tendrn la consideracin de entidades independientes de reconocida solvencia las
recogidas en los acuerdos o arreglos internacionales de reconocimiento mutuo de los
certificados de la seguridad de la tecnologa de la informacin u otras de naturaleza
anloga.
4.2 Control de acceso. [op.acc].
El control de acceso cubre el conjunto de actividades preparatorias y ejecutivas para
que una determinada entidad, usuario o proceso, pueda, o no, acceder a un recurso del
sistema para realizar una determinada accin.
El control de acceso que se implante en un sistema real ser un punto de equilibrio
entre la comodidad de uso y la proteccin de la informacin. En sistemas de nivel Bajo, se
primar la comodidad, mientras que en sistemas de nivel Alto se primar la proteccin.
En todo control de acceso se requerir lo siguiente:
a) Que todo acceso est prohibido, salvo concesin expresa.
b) Que la entidad quede identificada singularmente [op.acc.1].
c) Que la utilizacin de los recursos est protegida [op.acc.2].
d) Que se definan para cada entidad los siguientes parmetros: a qu se necesita
acceder, con qu derechos y bajo qu autorizacin [op.acc.4].
e) Sern diferentes las personas que autorizan, usan y controlan el uso [op.acc.3].
f) Que la identidad de la entidad quede suficientemente autenticada [mp.acc.5].
g) Que se controle tanto el acceso local ([op.acc.6]) como el acceso remoto ([op.acc.7]).
4.2.1 Identificacin [op.acc.1].

dimensiones
nivel
AT
bajo
medio
alto
aplica
cve: BOE-A-2010-1330
Con el cumplimiento de todas las medidas indicadas se garantizar que nadie acceder
a recursos sin autorizacin. Adems, quedar registrado el uso del sistema ([op.exp.8])
para poder detectar y reaccionar a cualquier fallo accidental o deliberado.
Cuando se interconecten sistemas en los que la identificacin, autenticacin y autorizacin
tengan lugar en diferentes dominios de seguridad, bajo distintas responsabilidades, en los
casos en que sea necesario, las medidas de seguridad locales se acompaarn de los
correspondientes acuerdos de colaboracin que delimiten mecanismos y procedimientos
para la atribucin y ejercicio efectivos de las responsabilidades de cada sistema ([op.ext]).

Nm. 25
Sec. I. Pg. 8112
La identificacin de los usuarios del sistema se realizar de acuerdo con lo que se

indica a continuacin:
a) Se asignar un identificador singular para cada entidad (usuario o proceso) que
accede al sistema, de tal forma que:
1. Se puede saber quin recibe y qu derechos de acceso recibe.
2. Se puede saber quin ha hecho algo y qu ha hecho.
b) Las cuentas de usuario se gestionarn de la siguiente forma:
1. Cada cuenta estar asociada a un identificador nico.
2. Las cuentas deben ser inhabilitadas en los siguientes casos: cuando el usuario
deja la organizacin; cuando el usuario cesa en la funcin para la cual se requera la
cuenta de usuario; o, cuando la persona que la autoriz, da orden en sentido contrario.
3. Las cuentas se retendrn durante el periodo necesario para atender a las
necesidades de trazabilidad de los registros de actividad asociados a las mismas. A este
periodo se le denominar periodo de retencin.
4.2.2 Requisitos de acceso [op.acc.2].
dimensiones
nivel
I CAT
bajo
medio
alto
aplica
Los requisitos de acceso se atendern a lo que a continuacin se indica:

a) Los recursos del sistema se protegern con algn mecanismo que impida su
utilizacin, salvo a las entidades que disfruten de derechos de acceso suficientes.
b) Los derechos de acceso de cada recurso, se establecern segn las decisiones
de la persona responsable del recurso, atenindose a la poltica y normativa de seguridad
del sistema.
c) Particularmente se controlar el acceso a los componentes del sistema y a sus
ficheros o registros de configuracin.
4.2.3 Segregacin de funciones y tareas [op.acc.3].
dimensiones
nivel
I CAT
bajo
medio
alto
no aplica
aplica
El sistema de control de acceso se organizar de forma que se exija la concurrencia

de dos o ms personas para realizar tareas crticas, anulando la posibilidad de que un solo
individuo autorizado, pueda abusar de sus derechos para cometer alguna accin ilcita.
En concreto, se separarn al menos las siguientes funciones:
4.2.4 Proceso de gestin de derechos de acceso [op.acc.4].

dimensiones
nivel
I CAT
bajo
medio
alto
aplica
cve: BOE-A-2010-1330
a) Desarrollo de operacin.
b) Configuracin y mantenimiento del sistema de operacin.
c) Auditora o supervisin de cualquier otra funcin.

Nm. 25
Sec. I. Pg. 8113
Los derechos de acceso de cada usuario, se limitarn atendiendo a los siguientes

principios:
a) Mnimo privilegio. Los privilegios de cada usuario se reducirn al mnimo
estrictamente necesario para cumplir sus obligaciones. De esta forma se acotan los daos
que pudiera causar una entidad, de forma accidental o intencionada.
b) Necesidad de conocer. Los privilegios se limitarn de forma que los usuarios slo
accedern al conocimiento de aquella informacin requerida para cumplir sus
obligaciones.
c) Capacidad de autorizar. Slo y exclusivamente el personal con competencia para
ello, podr conceder, alterar o anular la autorizacin de acceso a los recursos, conforme a
los criterios establecidos por su propietario.
4.2.5 Mecanismo de autenticacin [op.acc.5].
dimensiones
nivel
I CAT
bajo
medio
alto
aplica
++
Los mecanismos de autenticacin frente al sistema se adecuarn al nivel del sistema

atendiendo a las consideraciones que siguen.
Las guas CCN-STIC desarrollarn los mecanismos concretos adecuados a cada
nivel.
Nivel BAJO
a) Se admitir el uso de cualquier mecanismo de autenticacin: claves concertadas,
o dispositivos fsicos (en expresin inglesa tokens) o componentes lgicos tales como
certificados software u otros equivalentes o mecanismos biomtricos.
b) En el caso de usar contraseas se aplicarn reglas bsicas de calidad de las
mismas.
c) Se atender a la seguridad de los autenticadores de forma que:
1. Los autenticadores se activarn una vez estn bajo el control efectivo del
usuario.
2. Los autenticadores estarn bajo el control exclusivo del usuario.
3. El usuario reconocer que los ha recibido y que conoce y acepta las obligaciones
que implica su tenencia, en particular el deber de custodia diligente, proteccin de su
confidencialidad e informacin inmediata en caso de prdida.
4. Los autenticadores se cambiarn con una periodicidad marcada por la poltica de
la organizacin, atendiendo a la categora del sistema al que se accede.
5. Los autenticadores se retirarn y sern deshabilitados cuando la entidad (persona,
equipo o proceso) que autentican termina su relacin con el sistema.
a) No se recomendar el uso de claves concertadas.

b) Se recomendar el uso de otro tipo de mecanismos del tipo dispositivos fsicos
(tokens) o componentes lgicos tales como certificados software u otros equivalentes o
biomtricos.
c) En el caso de usar contraseas se aplicarn polticas rigurosas de calidad de la
contrasea y renovacin frecuente.
Nivel ALTO
a) Los autenticadores se suspendern tras un periodo definido de no utilizacin.
b) No se admitir el uso de claves concertadas.
cve: BOE-A-2010-1330
Nivel MEDIO

Nm. 25
Sec. I. Pg. 8114
c) Se exigir el uso de dispositivos fsicos (tokens) personalizados o biometra.

d) En el caso de utilizacin de dispositivos fsicos (tokens) se emplearn algoritmos
acreditados por el Centro Criptolgico Nacional.
e) Se emplearn, preferentemente, productos certificados [op.pl.5].
Tabla resumen de mecanismos de autenticacin admisibles
Nivel
BAJO
MEDIO
ALTO
algo que se sabe
claves concertadas
Con cautela
no
algo que se tiene
Tokens
si
criptogrficos
algo que se es
Biometra
+ doble factor
4.2.6 Acceso local [op.acc.6].

dimensiones
nivel
I CAT
bajo
medio
alto
aplica
++
Se considera acceso local al realizado desde puestos de trabajo dentro de las propias
instalaciones de la organizacin. Estos accesos tendrn en cuenta el nivel de las
dimensiones de seguridad:
Nivel BAJO
a) Se prevendrn ataques que puedan revelar informacin del sistema sin llegar a
acceder al mismo. La informacin revelada a quien intenta acceder, debe ser la mnima
imprescindible (los dilogos de acceso proporcionarn solamente la informacin
indispensable).
b) El nmero de intentos permitidos ser limitado, bloqueando la oportunidad de
acceso una vez efectuados un cierto nmero de fallos consecutivos.
c) Se registrarn los accesos con xito, y los fallidos.
d) El sistema informar al usuario de sus obligaciones inmediatamente despus de
obtener el acceso.
Nivel MEDIO
Se informar al usuario del ltimo acceso efectuado con su identidad.
Nivel ALTO
a) El acceso estar limitado por horario, fechas y lugar desde donde se accede.
b) Se definirn aquellos puntos en los que el sistema requerir una renovacin de la
autenticacin del usuario, mediante identificacin singular, no bastando con la sesin
establecida.
dimensiones
nivel
I CAT
bajo
medio
alto
aplica
cve: BOE-A-2010-1330
4.2.7 Acceso remoto [op.acc.7].

Nm. 25
Sec. I. Pg. 8115
Se considera acceso remoto al realizado desde fuera de las propias instalaciones de

la organizacin, a travs de redes de terceros.
Se garantizar la seguridad del sistema cuando accedan remotamente usuarios u
otras entidades, lo que implicar proteger tanto el acceso en s mismo (como [op.acc.6])
como el canal de acceso remoto (como en [mp.com.2] y [mp.com.3]).
Nivel MEDIO
Se establecer una poltica especfica de lo que puede hacerse remotamente,
requirindose autorizacin positiva.
4.3 Explotacin [op.exp].
4.3.1 Inventario de activos [op.exp.1].
dimensiones
categora
Todas
bsica
media
alta
aplica
Se mantendr un inventario actualizado de todos los elementos del sistema, detallando

su naturaleza e identificando a su propietario; es decir, la persona que es responsable de
las decisiones relativas al mismo.
4.3.2 Configuracin de seguridad [op.exp.2].
dimensiones
categora
Todas
bsica
media
alta
aplica
Se configurarn los equipos previamente a su entrada en operacin, de forma que:

a) Se retiren cuentas y contraseas estndar.
b) Se aplicar la regla de mnima funcionalidad:
1. El sistema debe proporcionar la funcionalidad requerida para que la organizacin
alcance sus objetivos y ninguna otra funcionalidad,
2. No proporcionar funciones gratuitas, ni de operacin, ni de administracin, ni de
auditora, reduciendo de esta forma su permetro al mnimo imprescindible.
3. Se eliminar o desactivar mediante el control de la configuracin, aquellas
funciones que no sean de inters, no sean necesarias, e incluso, aquellas que sean
inadecuadas al fin que se persigue.
c) Se aplicar la regla de seguridad por defecto:
4.3.3 Gestin de la configuracin [op.exp.3].

dimensiones
categora
todas
bsica
media
alta
no aplica
aplica
cve: BOE-A-2010-1330
1. Las medidas de seguridad sern respetuosas con el usuario y protegern a ste,

salvo que se exponga conscientemente a un riesgo.
2. Para reducir la seguridad, el usuario tiene que realizar acciones conscientes.
3. El uso natural, en los casos que el usuario no ha consultado el manual, ser un
uso seguro.

Nm. 25
Sec. I. Pg. 8116
Se gestionar de forma continua la configuracin de los componentes del sistema de

forma que:
a) Se mantenga en todo momento la regla de funcionalidad mnima ([op.exp.2]).
b) Se mantenga en todo momento la regla de seguridad por defecto ([op.exp.2]).
c) El sistema se adapte a las nuevas necesidades, previamente autorizadas ([op.
acc.4]).
d) El sistema reaccione a vulnerabilidades reportadas ([op.exp.4]).
e) El sistema reaccione a incidencias (ver [op.exp.7]).
4.3.4 Mantenimiento [op.exp.4].
dimensiones
categora
todas
bsica
media
alta
aplica
Para mantener el equipamiento fsico y lgico que constituye el sistema, se aplicar lo

siguiente:
a) Se atender a las especificaciones de los fabricantes en lo relativo a instalacin y
mantenimiento de los sistemas.
b) Se efectuar un seguimiento continuo de los anuncios de defectos.
c) Se dispondr de un procedimiento para analizar, priorizar y determinar cundo
aplicar las actualizaciones de seguridad, parches, mejoras y nuevas versiones. La
priorizacin tendr en cuenta la variacin del riesgo en funcin de la aplicacin o no de la
actualizacin.
4.3.5 Gestin de cambios [op.exp.5].
dimensiones
categora
todas
bsica
media
alta
no aplica
aplica
Se mantendr un control continuo de cambios realizados en el sistema, de forma

que:
4.3.6 Proteccin frente a cdigo daino [op.exp.6].

dimensiones
categora
todas
bsica
media
alta
aplica
cve: BOE-A-2010-1330
a) Todos los cambios anunciados por el fabricante o proveedor sern analizados

para determinar su conveniencia para ser incorporados, o no.
b) Antes de poner en produccin una nueva versin o una versin parcheada, se
comprobar en un equipo que no est en produccin, que la nueva instalacin funciona
correctamente y no disminuye la eficacia de las funciones necesarias para el trabajo
diario. El equipo de pruebas ser equivalente al de produccin en los aspectos que se
comprueban.
c) Los cambios se planificarn para reducir el impacto sobre la prestacin de los
servicios afectados.
d) Mediante anlisis de riesgos se determinar si los cambios son relevantes para la
seguridad del sistema. Aquellos cambios que impliquen una situacin de riesgo de nivel
alto sern aprobados explcitamente de forma previa a su implantacin.

Nm. 25
Sec. I. Pg. 8117
Se considera cdigo daino: los virus, los gusanos, los troyanos, los programas espas,
conocidos en terminologa inglesa como spyware, y en general, todo lo conocido como
malware.
Se dispondr de mecanismos de prevencin y reaccin frente a cdigo daino con
mantenimiento de acuerdo a las recomendaciones del fabricante.
4.3.7 Gestin de incidencias [op.exp.7].
dimensiones
todas
categora
bsica
media
alta
no aplica
aplica
Se dispondr de un proceso integral para hacer frente a los incidentes que puedan
tener un impacto en la seguridad del sistema, incluyendo:
a) Procedimiento de reporte de incidentes reales o sospechosos, detallando el
escalado de la notificacin.
b) Procedimiento de toma de medidas urgentes, incluyendo la detencin de servicios,
el aislamiento del sistema afectado, la recogida de evidencias y proteccin de los registros,
segn convenga al caso.
c) Procedimiento de asignacin de recursos para investigar las causas, analizar las
consecuencias y resolver el incidente.
d) Procedimientos para informar a las partes interesadas, internas y externas.
e) Procedimientos para:
1. Prevenir que se repita el incidente.
2. Incluir en los procedimientos de usuario la identificacin y forma de tratar el
incidente.
3. Actualizar, extender, mejorar u optimizar los procedimientos de resolucin de
incidencias.
La gestin de incidentes que afecten a datos de carcter personal tendr en cuenta lo
dispuesto en el Real Decreto 1720 de 2007, en lo que corresponda.
4.3.8 Registro de la actividad de los usuarios [op.exp.8].
dimensiones
nivel
T
bajo
medio
alto
no aplica
no aplica
aplica
Se registrarn todas las actividades de los usuarios en el sistema, de forma que:
4.3.9 Registro de la gestin de incidencias [op.exp.9].

dimensiones
categora
todas
bsica
media
alta
no aplica
aplica
cve: BOE-A-2010-1330
a) El registro indicar quin realiza la actividad, cuando la realiza y sobre qu

informacin.
b) Se incluir la actividad de los usuarios y, especialmente, la de los operadores y
administradores del sistema en cuanto pueden acceder a la configuracin y actuar en el
mantenimiento del mismo.
c) Deben registrarse las actividades realizadas con xito y los intentos fracasados.
d) La determinacin de qu actividades debe en registrarse y con qu niveles de detalle
se determinar a la vista del anlisis de riesgos realizado sobre el sistema ([op.pl.1]).

Nm. 25
Sec. I. Pg. 8118
Se registrarn todas las actuaciones relacionadas con la gestin de incidencias, de

forma que:
a) Se registrar el reporte inicial, las actuaciones de emergencia y las modificaciones
del sistema derivadas del incidente.
b) Se registrar aquella evidencia que pueda, posteriormente, sustentar una demanda
judicial, o hacer frente a ella, cuando el incidente pueda llevar a actuaciones disciplinarias
sobre el personal interno, sobre proveedores externos o a la persecucin de delitos. En la
determinacin de la composicin y detalle de estas evidencias, se recurrir a asesoramiento
legal especializado.
c) Como consecuencia del anlisis de las incidencias, se revisar la determinacin
de los eventos auditables.
4.3.10 Proteccin de los registros de actividad [op.exp.10].
dimensiones
nivel
T
bajo
medio
alto
no aplica
no aplica
aplica
Se protegern los registros del sistema, de forma que:

a)
b)
c)
d)
Se determinar el periodo de retencin de los registros.

Se asegurar la fecha y hora. Ver [mp.info.5].
Los registros no podrn ser modificados ni eliminados por personal no autorizado.
Las copias de seguridad, si existen, se ajustarn a los mismos requisitos.
4.3.11 Proteccin de claves criptogrficas [op.exp.11].

dimensiones
categora
todas
bsica
media
alta
aplica
Las claves criptogrficas se protegern durante todo su ciclo de vida: (1) generacin,
(2) transporte al punto de explotacin, (3) custodia durante la explotacin, (4) archivo
posterior a su retirada de explotacin activa y (5) destruccin final.
Categora BSICA
a) Los medios de generacin estarn aislados de los medios de explotacin.
b) Las claves retiradas de operacin que deban ser archivadas, lo sern en medios
aislados de los de explotacin.
Categora MEDIA
a) Se usarn programas evaluados o dispositivos criptogrficos certificados.
b) Se emplearn algoritmos acreditados por el Centro Criptolgico Nacional.
Cuando se utilicen recursos externos a la organizacin, sean servicios, equipos,

instalaciones o personal, deber tenerse en cuenta que la delegacin se limita a las
funciones.
La organizacin sigue siendo en todo momento responsable de los riesgos en que se
incurre en la medida en que impacten sobre la informacin manejada y los servicios finales
prestados por la organizacin.
La organizacin dispondr las medidas necesarias para poder ejercer su responsabilidad
y mantener el control en todo momento.
cve: BOE-A-2010-1330
4.4 Servicios externos [op.ext].

Nm. 25
Sec. I. Pg. 8119
4.4.1 Contratacin y acuerdos de nivel de servicio [op.ext.1].

dimensiones
categora
todas
bsica
media
alta
no aplica
aplica
Previa a la utilizacin de recursos externos se establecern contractualmente las

caractersticas del servicio prestado y las responsabilidades de las partes. Se detallar lo
que se considera calidad mnima del servicio prestado y las consecuencias de su
incumplimiento.
4.4.2 Gestin diaria [op.ext.2].
dimensiones
categora
todas
bsica
media
alta
no aplica
aplica
Para la gestin diaria del sistema, se establecern los siguientes puntos:

a) Un sistema rutinario para medir el cumplimiento de las obligaciones de servicio y
el procedimiento para neutralizar cualquier desviacin fuera del margen de tolerancia
acordado ([op.ext.1]).
b) El mecanismo y los procedimientos de coordinacin para llevar a cabo las tareas
de mantenimiento de los sistemas afectados por el acuerdo.
c) El mecanismo y los procedimientos de coordinacin en caso de incidencias y
desastres (ver [op.exp.7]).
4.4.3 Medios alternativos [op.ext.9].
dimensiones
nivel
bajo
medio
alto
no aplica
no aplica
aplica
Estar prevista la provisin del servicio por medios alternativos en caso de

indisponibilidad del servicio contratado. El servicio alternativo disfrutar de las mismas
garantas de seguridad que el servicio habitual.
4.5 Continuidad del servicio [op.cont].
dimensiones
nivel
bajo
medio
alto
no aplica
aplica
Se realizar un anlisis de impacto que permita determinar:

a) Los requisitos de disponibilidad de cada servicio medidos como el impacto de una
interrupcin durante un cierto periodo de tiempo.
b) Los elementos que son crticos para la prestacin de cada servicio.
cve: BOE-A-2010-1330
4.5.1 Anlisis de impacto [op.cont.1].

Nm. 25
Sec. I. Pg. 8120
4.5.2 Plan de continuidad [op.cont.2].

dimensiones
nivel
bajo
medio
alto
no aplica
no aplica
aplica
Se desarrollar un plan de continuidad que establezca las acciones a ejecutar en caso

de interrupcin de los servicios prestados con los medios habituales. Este plan contemplar
los siguientes aspectos:
a) Se identificarn funciones, responsabilidades y actividades a realizar.
b) Existir una previsin de los medios alternativos que se va a conjugar para poder
seguir prestando los servicios.
c) Todos los medios alternativos estarn planificados y materializados en acuerdos o
contratos con los proveedores correspondientes.
d) Las personas afectadas por el plan recibirn formacin especfica relativa a su
papel en dicho plan.
e) El plan de continuidad ser parte integral y armnica de los planes de continuidad
de la organizacin en otras materias ajenas a la seguridad.
4.5.3 Pruebas peridicas [op.cont.3].
dimensiones
nivel
D
bajo
medio
alto
no aplica
no aplica
aplica
Se realizarn pruebas peridicas para localizar y, corregir en su caso, los errores o

deficiencias que puedan existir en el plan de continuidad
4.6 Monitorizacin del sistema [op.mon].
El sistema estar sujeto a medidas de monitorizacin de su actividad.
4.6.1 Deteccin de intrusin [op.mon.1].
dimensiones
categora
todas
bsica
media
alta
no aplica
no aplica
aplica
Se dispondrn de herramientas de deteccin o de prevencin de intrusin.

4.6.2 Sistema de mtricas [op.mon.2].
categora
todas
bsica
media
alta
no aplica
no aplica
aplica
Se establecer un conjunto de indicadores que mida el desempeo real del sistema en

materia de seguridad, en los siguientes aspectos:
a) Grado de implantacin de las medidas de seguridad.
b) Eficacia y eficiencia de las medidas de seguridad.
c) Impacto de los incidentes de seguridad.
cve: BOE-A-2010-1330
dimensiones

Nm. 25
Sec. I. Pg. 8121
5. Medidas de proteccin [mp]

Las medidas de proteccin, se centrarn en proteger activos concretos, segn su
naturaleza, con el nivel requerido en cada dimensin de seguridad.
5.1 Proteccin de las instalaciones e infraestructuras [mp.if].
5.1.1 reas separadas y con control de acceso [mp.if.1].
dimensiones
categora
todas
bsica
media
alta
aplica
El equipamiento de instalar en reas separadas especficas para su funcin.

Se controlarn los accesos a las reas indicadas de forma que slo se pueda acceder
por las entradas previstas y vigiladas.
5.1.2 Identificacin de las personas [mp.if.2].
dimensiones
categora
todas
bsica
media
alta
aplica
El mecanismo de control de acceso se atendr a lo que se dispone a continuacin:

a) Se identificar a todas las personas que accedan a los locales donde hay
equipamiento que forme parte del sistema de informacin.
b) Se registrarn las entradas y salidas de personas.
5.1.3 Acondicionamiento de los locales [mp.if.3].
dimensiones
categora
todas
bsica
media
alta
aplica
Los locales donde se ubiquen los sistemas de informacin y sus componentes,

dispondrn de elementos adecuados para el eficaz funcionamiento del equipamiento all
instalado. Y, en especial:
a) Condiciones de temperatura y humedad.
b) Proteccin frente a las amenazas identificadas en el anlisis de riesgos.
c) Proteccin del cableado frente a incidentes fortuitos o deliberados.
5.1.4 Energa elctrica [mp.if.4].
nivel
D
bajo
medio
alto
aplica
Los locales donde se ubiquen los sistemas de informacin y sus componentes

dispondrn de la energa elctrica, y sus tomas correspondientes, necesaria para su
funcionamiento, de forma que en los mismos:
a) Se garantizar el suministro de potencia elctrica.
b) Se garantizar el correcto funcionamiento de las luces de emergencia.
cve: BOE-A-2010-1330
dimensiones

Nm. 25
Sec. I. Pg. 8122
Nivel MEDIO
Se garantizar el suministro elctrico a los sistemas en caso de fallo del suministro
general, garantizando el tiempo suficiente para una terminacin ordenada de los procesos,
salvaguardando la informacin.
5.1.5 Proteccin frente a incendios [mp.if.5].
dimensiones
nivel
bajo
medio
alto
aplica
Los locales donde se ubiquen los sistemas de informacin y sus componentes se

protegern frente a incendios fortuitos o deliberados, aplicando al menos la normativa
industrial pertinente.
5.1.6 Proteccin frente a inundaciones [mp.if.6].
dimensiones
nivel
bajo
medio
alto
no aplica
aplica
Los locales donde se ubiquen los sistemas de informacin y sus componentes se

protegern frente a incidentes fortuitos o deliberados causados por el agua.
5.1.7 Registro de entrada y salida de equipamiento [mp.if.7].
dimensiones
categora
todas
bsica
media
alta
aplica
Se llevar un registro pormenorizado de toda entrada y salida de equipamiento,

incluyendo la identificacin de la persona que autoriza de movimiento.
5.1.8 Instalaciones alternativas [mp.if.9].
dimensiones
nivel
D
bajo
medio
alto
no aplica
no aplica
aplica
Se garantizar la existencia y disponibilidad de instalaciones alternativas para poder

trabajar en caso de que las instalaciones habituales no estn disponibles. Las instalaciones
alternativas disfrutarn de las mismas garantas de seguridad que las instalaciones
habituales.
5.2.1 Caracterizacin del puesto de trabajo [mp.per.1].

dimensiones
categora
todas
bsica
media
alta
no aplica
aplica
cve: BOE-A-2010-1330
5.2 Gestin del personal [mp.per].

Nm. 25
Sec. I. Pg. 8123
Cada puesto de trabajo se caracterizar de la siguiente forma:

a) Se definirn las responsabilidades relacionadas con cada puesto de trabajo en
materia de seguridad. La definicin se basar en el anlisis de riesgos.
b) Se definirn los requisitos que deben satisfacer las personas que vayan a ocupar
el puesto de trabajo, en particular, en trminos de confidencialidad.
c) Dichos requisitos se tendrn en cuenta en la seleccin de la persona que vaya a
ocupar dicho puesto, incluyendo la verificacin de sus antecedentes laborales, formacin
y otras referencias.
5.2.2 Deberes y obligaciones [mp.per.2].
dimensiones
categora
todas
bsica
media
alta
aplica
1. Se informar a cada persona que trabaje en el sistema, de los deberes y

responsabilidades de su puesto de trabajo en materia de seguridad.
a) Se especificarn las medidas disciplinarias a que haya lugar.
b) Se cubrir tanto el periodo durante el cual se desempea el puesto, como las
obligaciones en caso de trmino de la asignacin, o traslado a otro puesto de trabajo.
c) Se contemplar el deber de confidencialidad respecto de los datos a los que tenga
acceso, tanto durante el periodo que estn adscritos al puesto de trabajo, como
posteriormente a su terminacin.
2. En caso de personal contratado a travs de un tercero:
a) Se establecern los deberes y obligaciones del personal.
b) Se establecern los deberes y obligaciones de cada parte.
c) Se establecer el procedimiento de resolucin de incidentes relacionados con el
incumplimiento de las obligaciones.
5.2.3 Concienciacin [mp.per.3].
dimensiones
categora
todas
bsica
media
alta
aplica
Se realizarn las acciones necesarias para concienciar regularmente al personal

acerca de su papel y responsabilidad para que la seguridad del sistema alcance los niveles
exigidos.
En particular, se recordar regularmente:
5.2.4 Formacin [mp.per.4].

dimensiones
categora
todas
bsica
media
alta
aplica
cve: BOE-A-2010-1330
a) La normativa de seguridad relativa al buen uso de los sistemas.

b) La identificacin de incidentes, actividades o comportamientos sospechosos que
deban ser reportados para su tratamiento por personal especializado.
c) El procedimiento de reporte de incidencias de seguridad, sean reales o falsas
alarmas.

Nm. 25
Sec. I. Pg. 8124
Se formar regularmente al personal en aquellas materias que requieran para el

desempeo de sus funciones, en particular en lo relativo a:
a) Configuracin de sistemas.
b) Deteccin y reaccin a incidentes.
c) Gestin de la informacin en cualquier soporte en el que se encuentre. Se cubrirn
al menos las siguientes actividades: almacenamiento, transferencia, copias, distribucin y
destruccin.
5.2.5 Personal alternativo [mp.per.9].
dimensiones
nivel
bajo
medio
alto
no aplica
no aplica
aplica
Se garantizar a existencia y disponibilidad de otras personas que se puedan hacer

cargo de las funciones en caso de indisponibilidad del personal habitual. El personal
alternativo deber estar sometido a las mismas garantas de seguridad que el personal
habitual.
5.3 Proteccin de los equipos [mp.eq].
5.3.1 Puesto de trabajo despejado [mp.eq.1].
dimensiones
categora
todas
bsica
media
alta
aplica
Se exigir que los puestos de trabajo permanezcan despejados, sin ms material

encima de la mesa que el requerido para la actividad que se est realizando en cada
momento
Categora MEDIA
Este material se guardar en lugar cerrado cuando no se est utilizando.
5.3.2 Bloqueo de puesto de trabajo [mp.eq.2].
dimensiones
nivel
A
bajo
medio
alto
no aplica
aplica
El puesto de trabajo se bloquear al cabo de un tiempo prudencial de inactividad,

requiriendo una nueva autenticacin del usuario para reanudar la actividad en curso.
Categora ALTA
5.3.3 Proteccin de porttiles [mp.eq.3].

dimensiones
categora
todas
bsica
media
alta
aplica
cve: BOE-A-2010-1330
Pasado un cierto tiempo, superior al anterior, se cancelarn las sesiones abiertas

desde dicho puesto de trabajo.

Nm. 25
Sec. I. Pg. 8125
Los equipos que abandonen las instalaciones de la organizacin y no puedan

beneficiarse de la proteccin fsica correspondiente, con un riesgo manifiesto de prdida o
robo, sern protegidos adecuadamente.
Sin perjuicio de las medidas generales que les afecten, se adoptarn las siguientes:
a) Se llevar un inventario de equipos porttiles junto con una identificacin de la
persona responsable del mismo y un control regular de que est positivamente bajo su
control.
b) Se establecer un canal de comunicacin para informar, al servicio de gestin de
incidencias, de prdidas o sustracciones.
c) Se establecer un sistema de proteccin perimetral que minimice la visibilidad
exterior y controle las opciones de acceso al interior cuando el equipo se conecte a redes,
en particular si el equipo se conecta a redes pblicas.
d) Se evitar, en la medida de lo posible, que el equipo contenga claves de acceso
remoto a la organizacin. Se considerarn claves de acceso remoto aquellas que sean
capaces de habilitar un acceso a otros equipos de la organizacin, u otras de naturaleza
anloga.
Categora ALTA
a) Se dotar al dispositivo de detectores de violacin que permitan saber el equipo
ha sido manipulado y activen los procedimientos previstos de gestin del incidente.
b) La informacin de nivel alto almacenada en el disco se proteger mediante
cifrado.
5.3.4 Medios alternativos [mp.eq.9].
dimensiones
nivel
D
bajo
medio
alto
No aplica
aplica
Se garantizar la existencia y disponibilidad de medios alternativos de tratamiento de

la informacin para el caso de que fallen los medios habituales. Estos medios alternativos
estarn sujetos a las mismas garantas de proteccin.
Igualmente, se establecer un tiempo mximo para que los equipos alternativos entren
en funcionamiento.
5.4 Proteccin de las comunicaciones [mp.com].
5.4.1 Permetro seguro [mp.com.1].
dimensiones
categora
todas
bsica
media
alta
aplica
Categora ALTA
a) El sistema de cortafuegos constar de dos o ms equipos de diferente fabricante
dispuestos en cascada.
b) Se dispondrn sistemas redundantes.
cve: BOE-A-2010-1330
Se dispondr un sistema cortafuegos que separe la red interna del exterior. Todo el
trfico deber atravesar dicho cortafuegos que slo dejara transitar los flujos previamente
autorizados.

Nm. 25
Sec. I. Pg. 8126
5.4.2 Proteccin de la confidencialidad [mp.com.2].

dimensiones
nivel
C
bajo
medio
alto
no aplica
aplica
Nivel MEDIO
a) Se emplearn redes privadas virtuales cuando la comunicacin discurra por redes
fuera del propio dominio de seguridad.
Nivel ALTO
a) Se emplearn, preferentemente, dispositivos hardware en el establecimiento y
utilizacin de la red privada virtual.
b) Se emplearn, preferentemente, productos certificados [op.pl.5].
5.4.3 Proteccin de la autenticidad y de la integridad [mp.com.3].
dimensiones
nivel
IA
bajo
medio
alto
aplica
Nivel BAJO
a) Se asegurar la autenticidad del otro extremo de un canal de comunicacin antes
de intercambiar informacin alguna (ver [op.acc.5]).
b) Se prevendrn ataques activos, garantizando que al menos sern detectados. y
se activarn los procedimientos previstos de tratamiento del incidente Se considerarn
ataques activos:
1. La alteracin de la informacin en transito
2. La inyeccin de informacin espuria
3. El secuestro de la sesin por una tercera parte
Nivel MEDIO
a) Se emplearn redes privadas virtuales cuando la comunicacin discurra por redes
fuera del propio dominio de seguridad.
Nivel ALTO
a) Se valorar positivamente en empleo de dispositivos hardware en el establecimiento
y utilizacin de la red privada virtual.
dimensiones
categora
todas
bsica
media
alta
no aplica
no aplica
aplica
cve: BOE-A-2010-1330
5.4.4 Segregacin de redes [mp.com.4].

Nm. 25
Sec. I. Pg. 8127
La segregacin de redes acota el acceso a la informacin y, consiguientemente, la

propagacin de los incidentes de seguridad, que quedan restringidos al entorno donde
ocurren.
La red se segmentar en segmentos de forma que haya:
a) Control de entrada de los usuarios que llegan a cada segmento.
b) Control de salida de la informacin disponible en cada segmento.
c) Las redes se pueden segmentar por dispositivos fsicos o lgicos. El punto de
interconexin estar particularmente asegurado, mantenido y monitorizado (como en
[mp.com.1]).
5.4.5 Medios alternativos [mp.com.9].
dimensiones
nivel
bajo
medio
alto
no aplica
no aplica
aplica
Se garantizar la existencia y disponibilidad de medios alternativos de comunicacin

para el caso de que fallen los medios habituales. Los medios alternativos de comunicacin:
a) Estarn sujetos y proporcionar las mismas garantas de proteccin que el medio
habitual.
b) Garantizarn un tiempo mximo de entrada en funcionamiento.
5.5 Proteccin de los soportes de informacin [mp.si].
5.5.1 Etiquetado [mp.si.1].
dimensiones
nivel
C
bajo
medio
alto
aplica
Los soportes de informacin se etiquetarn de forma que, sin revelar su contenido, se

indique el nivel de seguridad de la informacin contenida de mayor calificacin.
Los usuarios han de estar capacitados para entender el significado de las etiquetas,
bien mediante simple inspeccin, bien mediante el recurso a un repositorio que lo
explique.
5.5.2 Criptografa. [mp.si.2].
nivel
IC
bajo
medio
alto
no aplica
aplica
Esta medida se aplica, en particular, a todos los dispositivos removibles. Se entendern

por dispositivos removibles, los CD, DVD, discos USB, u otros de naturaleza anloga.
Se aplicarn mecanismos criptogrficos que garanticen la confidencialidad y la
integridad de la informacin contenida.
Nivel ALTO
a) Se emplearn algoritmos acreditados por el Centro Criptolgico Nacional.
cve: BOE-A-2010-1330
dimensiones

Nm. 25
Sec. I. Pg. 8128
5.5.3 Custodia [mp.si.3].

dimensiones
categora
todas
bsica
media
alta
aplica
Se aplicar la debida diligencia y control a los soportes de informacin que permanecen

bajo la responsabilidad de la organizacin, mediante las siguientes actuaciones:
a) Garantizando el control de acceso con medidas fsicas ([mp.if.1] y [mpl.if.7])
lgicas ([mp.si.2]), o ambas.
b) Garantizando que se respetan las exigencias de mantenimiento del fabricante, en
especial, en lo referente a temperatura, humedad y otros agresores medioambientales.
5.5.4 Transporte [mp.si.4].
dimensiones
categora
todas
bsica
media
alta
aplica
El responsable de sistemas garantizar que los dispositivos permanecen bajo control

y que satisfacen sus requisitos de seguridad mientras estn siendo desplazados de un
lugar a otro.
Para ello:
a) Se dispondr de un registro de salida que identifique al transportista que recibe el
soporte para su traslado.
b) Se dispondr de un registro de entrada que identifique al transportista que lo
entrega.
c) Se dispondr de un procedimiento rutinario que coteje las salidas con las llegadas
y levante las alarmas pertinentes cuando se detecte algn incidente.
d) Se utilizarn los medios de proteccin criptogrfica ([mp.si.2]) correspondientes al
nivel de calificacin de la informacin contenida de mayor nivel.
e) Se gestionarn las claves segn [op.exp.11].
5.5.5 Borrado y destruccin [mp.si.5].
dimensiones
nivel
C
bajo
medio
alto
no aplica
aplica
La medida de borrado y destruccin de soportes de informacin se aplicar a todo tipo

de equipos susceptibles de almacenar informacin, incluyendo medios electrnicos y no
electrnicos.
1. Cuando la naturaleza del soporte no permita un borrado seguro.

2. Cuando as lo requiera el procedimiento asociado al tipo de la informacin
contenida,.
c) Se emplearn, preferentemente, productos certificados [op.pl.5].
cve: BOE-A-2010-1330
a) Los soportes que vayan a ser reutilizados para otra informacin o liberados a otra
organizacin sern objeto de un borrado seguro de su anterior contenido.
b) Se destruirn de forma segura los soportes, en los siguientes casos:

Nm. 25
Sec. I. Pg. 8129
5.6 Proteccin de las aplicaciones informticas [mp.sw].

5.6.1 Desarrollo de aplicaciones [mp.sw.1].
dimensiones
categora
todas
bsica
media
alta
no aplica
aplica
a) El desarrollo de aplicaciones se realizar sobre un sistema diferente y separado

del de produccin, no debiendo existir herramientas o datos de desarrollo en el entorno de
produccin.
b) Se aplicar una metodologa de desarrollo reconocida que:
1. Tome en consideracin los aspectos de seguridad a lo largo de todo el ciclo de
vida.
2. Trate especficamente los datos usados en pruebas.
3. Permita la inspeccin del cdigo fuente.
c) Los siguientes elementos sern parte integral del diseo del sistema:
1. Los mecanismos de identificacin y autenticacin.
2. Los mecanismos de proteccin de la informacin tratada.
3. La generacin y tratamiento de pistas de auditora.
d) Las pruebas anteriores a la implantacin o modificacin de los sistemas de
informacin no se realizarn con datos reales, salvo que se asegure el nivel de seguridad
correspondiente.
5.6.2 Aceptacin y puesta en servicio [mp.sw.2].
dimensiones
categora
todas
bsica
media
alta
aplica
++
Categora BSICA
Antes de pasar a produccin se comprobar el correcto funcionamiento de la
aplicacin.
a) Se comprobar que:
1. Se cumplen los criterios de aceptacin en materia de seguridad.
2. No se deteriora la seguridad de otros componentes del servicio.
b) Las pruebas se realizarn en un entorno aislado (pre-produccin).
c) Las pruebas de aceptacin no se realizarn con datos reales, salvo que se asegure
el nivel de seguridad correspondiente.
Se realizarn las siguientes inspecciones previas a la entrada en servicio:

a) Anlisis de vulnerabilidades.
b) Pruebas de penetracin.
cve: BOE-A-2010-1330
Categora MEDIA

Nm. 25
Sec. I. Pg. 8130
Categora ALTA
Se realizarn las siguientes inspecciones previas a la entrada en servicio:
a) Anlisis de coherencia en la integracin en los procesos.
b) Se considerar la oportunidad de realizar una auditora de cdigo fuente.
5.7 Proteccin de la informacin [mp.info].
5.7.1 Datos de carcter personal [mp.info.1].
dimensiones
categora
todas
bsica
media
alta
aplica
aplica
aplica
Cuando el sistema trate datos de carcter personal, se estar a lo dispuesto en la Ley

Orgnica 15/1999, de 13 de diciembre, y normas de desarrollo, sin perjuicio de cumplir,
adems, las medidas establecidas por este real decreto.
Lo indicado en el prrafo anterior tambin se aplicar, cuando una disposicin con
rango de ley se remita a las normas sobre datos de carcter personal en la proteccin de
informacin.
5.7.2 Calificacin de la informacin [mp.info.2].
dimensiones
nivel
C
bajo
medio
alto
aplica
1. Para calificar la informacin se estar a lo establecido legalmente sobre la

naturaleza de la misma.
2. La poltica de seguridad establecer quin es el responsable de cada informacin
manejada por el sistema.
3. La poltica de seguridad recoger, directa o indirectamente, los criterios que, en
cada organizacin, determinarn el nivel de seguridad requerido, dentro del marco
establecido en el artculo 43 y los criterios generales prescritos en el Anexo I.
4. El responsable de cada informacin seguir los criterios determinados en el
apartado anterior para asignar a cada informacin el nivel de seguridad requerido, y ser
responsable de su documentacin y aprobacin formal.
5. El responsable de cada informacin en cada momento tendr en exclusiva la
potestad de modificar el nivel de seguridad requerido, de acuerdo a los apartados
anteriores.
Nivel MEDIO
a)
b)
c)
d)
e)
f)
Su control de acceso.
Su almacenamiento.
La realizacin de copias.
El etiquetado de soportes.
Su transmisin telemtica.
Y cualquier otra actividad relacionada con dicha informacin.
cve: BOE-A-2010-1330
Se redactarn los procedimientos necesarios que describan, en detalle, la forma en

que se ha de etiquetar y tratar la informacin en consideracin al nivel de seguridad que
requiere; y precisando cmo se ha de realizar:

Nm. 25
Sec. I. Pg. 8131
5.7.3 Cifrado de la informacin [mp.info.3].

dimensiones
nivel
C
bajo
medio
alto
no aplica
no aplica
aplica
Para el cifrado de informacin se estar a lo que se indica a continuacin:

a) La informacin con un nivel alto en confidencialidad se cifrar tanto durante su
almacenamiento como durante su transmisin. Slo estar en claro mientras se est
haciendo uso de ella.
b) Para el uso de criptografa en las comunicaciones, se estar a lo dispuesto en [mp.
com.2].
c) Para el uso de criptografa en los soportes de informacin, se estar a lo dispuesto
en [mp.si.2].
5.7.4 Firma electrnica [mp.info.4].
dimensiones
nivel
IA
bajo
medio
alto
aplica
++
La firma electrnica es un mecanismo de prevencin del repudio; es decir, previene

frente a la posibilidad de que en el futuro el signatario pudiera desdecirse de la informacin
firmada.
La firma electrnica garantiza la autenticidad del signatario y la integridad del
contenido.
Cuando se emplee firma electrnica:
a) El signatario ser la parte que se hace responsable de la informacin, en la medida
de sus atribuciones.
b) Se dispondr de una Poltica de Firma Electrnica, aprobada por el rgano superior
competente que corresponda.
Nivel BAJO
Se emplear cualquier medio de firma electrnica de los previstos en la legislacin
vigente.
Nivel MEDIO
1. Los medios utilizados en la firma electrnica sern proporcionados a la calificacin
de la informacin tratada. En todo caso:
2. Se garantizar la verificacin y validacin de la firma electrnica durante el tiempo

requerido por la actividad administrativa que aqulla soporte, sin perjuicio de que se pueda
ampliar este perodo de acuerdo con lo que establezca la poltica de firma electrnica y de
certificados que sea de aplicacin. Para tal fin:
a) Se adjuntar a la firma, o se referenciar, toda la informacin pertinente para su
verificacin y validacin:
1. Certificados.
2. Datos de verificacin y validacin.
cve: BOE-A-2010-1330
a) Se emplearn algoritmos acreditados por el Centro Criptolgico Nacional.

b) Se emplearn, preferentemente, certificados reconocidos.
c) Se emplearn, preferentemente, dispositivos seguros de firma.

Nm. 25
Sec. I. Pg. 8132
b) Se protegern la firma y la informacin mencionada en el apartado anterior con un

sello de tiempo.
c) El organismo que recabe documentos firmados por el administrado verificar y
validar la firma recibida en el momento de la recepcin, anexando o referenciando sin
ambigedad la informacin descrita en los epgrafes a) y b).
d) La firma electrnica de documentos por parte de la Administracin anexar o
referenciar sin ambigedad la informacin descrita en los epgrafes a) y b).
Nivel ALTO
Se aplicarn las medidas de seguridad referentes a firma electrnica exigibles en la
nivel Medio, adems de las siguientes:
a) Se usarn certificados reconocidos.
b) Se usarn dispositivos seguros de creacin de firma.
c) Se emplearn, preferentemente, productos certificados [op.pl.5].
5.7.5 Sellos de tiempo [mp.info.5].
dimensiones
nivel
bajo
medio
alto
no aplica
no aplica
aplica
Los sellos de tiempo prevendrn la posibilidad del repudio posterior:

1. Los sellos de tiempo se aplicarn a aquella informacin que sea susceptible de ser
utilizada como evidencia electrnica en el futuro.
2. Los datos pertinentes para la verificacin posterior de la fecha sern tratados con
la misma seguridad que la informacin fechada a efectos de disponibilidad, integridad y
confidencialidad.
3. Se renovarn regularmente los sellos de tiempo hasta que la informacin protegida
ya no sea requerida por el proceso administrativo al que da soporte.
4. Se utilizarn productos certificados (segn [op.pl.5]) o servicios externos admitidos.
Vase [op.exp.10].
5.7.6 Limpieza de documentos [mp.info.6].
dimensiones
nivel
C
bajo
medio
alto
aplica
a) Al mantenimiento de la confidencialidad de informacin que no debera haberse

revelado al receptor del documento.
b) Al mantenimiento de la confidencialidad de las fuentes u orgenes de la informacin,
que no debe conocer el receptor del documento.
c) A la buena imagen de la organizacin que difunde el documento por cuanto
demuestra un descuido en su buen hacer.
cve: BOE-A-2010-1330
En el proceso de limpieza de documentos, se retirar de estos toda la informacin

adicional contenida en campos ocultos, meta-datos, comentarios o revisiones anteriores,
salvo cuando dicha informacin sea pertinente para el receptor del documento.
Esta medida es especialmente relevante cuando el documento se difunde ampliamente,
como ocurre cuando se ofrece al pblico en un servidor web u otro tipo de repositorio de
informacin.
Se tendr presente que el incumplimiento de esta medida puede perjudicar:

Nm. 25
Sec. I. Pg. 8133
5.7.7 Copias de seguridad (backup) [mp.info.9].

dimensiones
nivel
D
bajo
medio
alto
no aplica
aplica
Se realizarn copias de respaldo que permitan recuperar datos perdidos accidental o

intencionadamente con una antigedad determinada.
Las copias de respaldo disfrutarn de la misma seguridad que los datos originales en
lo que se refiere a integridad, confidencialidad, autenticidad y trazabilidad. En particular, se
considerar la conveniencia o necesidad de que las copias de seguridad estn cifradas
para garantizar la confidencialidad.
Las copias de respaldo debern abarcar:
a) Informacin de trabajo de la organizacin.
b) Aplicaciones en explotacin, incluyendo los sistemas operativos.
c) Datos de configuracin, servicios, aplicaciones, equipos, u otros de naturaleza
anloga.
d) Claves utilizadas para preservar la confidencialidad de la informacin.
5.8 Proteccin de los servicios [mp.s].
5.8.1 Proteccin del correo electrnico (e-mail) [mp.s.1].
dimensiones
categora
todas
bsica
media
alta
aplica
El correo electrnico se proteger frente a las amenazas que le son propias, actuando
del siguiente modo:
a) La informacin distribuida por medio de correo electrnico, se proteger, tanto en
el cuerpo de los mensajes, como en los anexos.
b) Se proteger la informacin de encaminamiento de mensajes y establecimiento de
conexiones.
c) Se proteger a la organizacin frente a problemas que se materializan por medio
del correo electrnico, en concreto:
1. Correo no solicitado, en su expresin inglesa spam.
2. Programas dainos, constituidos por virus, gusanos, troyanos, espas, u otros de
naturaleza anloga.
3. Cdigo mvil de tipo applet.
d) Se establecern normas de uso del correo electrnico por parte del personal
determinado. Estas normas de uso contendrn:
1. Limitaciones al uso como soporte de comunicaciones privadas.
5.8.2 Proteccin de servicios y aplicaciones web [mp.s.2].

dimensiones
categora
todas
bsica
media
alta
aplica
cve: BOE-A-2010-1330
2. Actividades de concienciacin y formacin relativas al uso del correo electrnico.

Nm. 25
Sec. I. Pg. 8134
Los subsistemas dedicados a la publicacin de informacin debern ser protegidos

frente a las amenazas que les son propias.
a) Cuando la informacin tenga algn tipo de control de acceso, se garantizar la
imposibilidad de acceder a la informacin obviando la autenticacin, en particular tomando
medidas en los siguientes aspectos:
1. Se evitar que el servidor ofrezca acceso a los documentos por vas alternativas
al protocolo determinado.
2. Se prevendrn ataques de manipulacin de URL.
3. Se prevendrn ataques de manipulacin de fragmentos de informacin que se
almacena en el disco duro del visitante de una pgina web a travs de su navegador, a
peticin del servidor de la pgina, conocido en terminologa inglesa como cookies.
4. Se prevendrn ataques de inyeccin de cdigo.
b) Se prevendrn intentos de escalado de privilegios.
c) Se prevendrn ataques de cross site scripting.
d) Se prevendrn ataques de manipulacin de programas o dispositivos que realizan
una accin en representacin de otros, conocidos en terminologa inglesa como proxies
y, sistemas especiales de almacenamiento de alta velocidad, conocidos en terminologa
inglesa como cachs.
5.8.3 Proteccin frente a la denegacin de servicio [mp.s.8].
dimensiones
nivel
bajo
medio
alto
No aplica
aplica
Nivel MEDIO
Se establecern medidas preventivas y reactivas frente a ataques de denegacin de
servicio (DOS Denial of Service). Para ello:
a) Se planificar y dotar al sistema de capacidad suficiente para atender a la carga
prevista con holgura.
b) Se desplegarn tecnologas para prevenir los ataques conocidos.
Nivel ALTO
a) Se establecer un sistema de deteccin de ataques de denegacin de servicio.
b) Se establecern procedimientos de reaccin a los ataques, incluyendo la
comunicacin con el proveedor de comunicaciones.
c) Se impedir el lanzamiento de ataques desde las propias instalaciones perjudicando
a terceros.
5.8.4 Medios alternativos [mp.s.9].
nivel
D
bajo
medio
alto
no aplica
no aplica
aplica
Se garantizar la existencia y disponibilidad de medios alternativos para prestar los

servicios en el caso de que fallen los medios habituales. Estos medios alternativos estarn
sujetos a las mismas garantas de proteccin que los medios habituales.
cve: BOE-A-2010-1330
dimensiones

Sec. I. Pg. 8135
6. Desarrollo y complemento de las medidas de seguridad

Las medidas de seguridad se desarrollarn y complementarn segn lo establecido en
la disposicin final segunda.
7. Interpretacin
La interpretacin del presente anexo se realizar segn el sentido propio de sus
palabras, en relacin con el contexto, antecedentes histricos y legislativos, entre los que
figura lo dispuesto en las instrucciones tcnicas CCN-STIC correspondientes a la
implementacin y a diversos escenarios de aplicacin tales como sedes electrnicas,
servicios de validacin de certificados electrnicos, servicios de fechado electrnico y
validacin de documentos fechados, atendiendo el espritu y finalidad de aquellas.
ANEXO III
Auditora de la seguridad
1. Objeto de la auditora
1. La seguridad de los sistemas de informacin de una organizacin ser auditada en
los siguientes trminos:
a) Que la poltica de seguridad define los roles y funciones de los responsables de
la informacin, los servicios, los activos y la seguridad del sistema de informacin.
b) Que existen procedimientos para resolucin de conflictos entre dichos
responsables.
c) Que se han designado personas para dichos roles a la luz del principio de
separacin de funciones.
d) Que se ha realizado un anlisis de riesgos, con revisin y aprobacin anual.
e) Que se cumplen las recomendaciones de proteccin descritas en el anexo II, sobre
Medidas de Seguridad, en funcin de las condiciones de aplicacin en cada caso.
f) Que existe un sistema de gestin de la seguridad de la informacin, documentado
y con un proceso regular de aprobacin por la direccin.
2. La auditora se basar en la existencia de evidencias que permitan sustentar
objetivamente el cumplimiento de los puntos mencionados:
a) Documentacin de los procedimientos.
b) Registro de incidencias.
c) Examen del personal afectado: conocimiento y praxis de las medidas que le
afectan.
2. Niveles de auditora
Los niveles de auditora que se realizan a los sistemas de informacin, sern los
siguientes:
1. Auditora a sistemas de categora BSICA.
a) Los sistemas de informacin de categora BSICA, o inferior, no necesitarn
realizar una auditora. Bastar una autoevaluacin realizada por el mismo personal que
administra el sistema de informacin, o en quien ste delegue.
El resultado de la autoevaluacin debe estar documentado, indicando si cada medida
de seguridad est implantada y sujeta a revisin regular y las evidencias que sustentan la
valoracin anterior.
b) Los informes de autoevaluacin sern analizados por el responsable de seguridad
competente, que elevar las conclusiones al responsable del sistema para que adopte las
medidas correctoras adecuadas.
cve: BOE-A-2010-1330
Nm. 25

Sec. I. Pg. 8136
2. Auditora a sistemas de categora MEDIA O ALTA.

a) El informe de auditora dictaminar sobre el grado de cumplimiento del presente
real decreto, identificar sus deficiencias y sugerir las posibles medidas correctoras o
complementarias que sean necesarias, as como las recomendaciones que se consideren
oportunas. Deber, igualmente, incluir los criterios metodolgicos de auditora utilizados,
el alcance y el objetivo de la auditora, y los datos, hechos y observaciones en que se
basen en que se basen las conclusiones formuladas.
b) Los informes de auditora sern analizados por el responsable de seguridad
competente, que presentar sus conclusiones al responsable del sistema para que adopte
las medidas correctoras adecuadas.
3. Interpretacin
La interpretacin del presente anexo se realizar segn el sentido propio de sus
palabras, en relacin con el contexto, antecedentes histricos y legislativos, entre los que
figura lo dispuesto en la instruccin tcnica CCN-STIC correspondiente, atendiendo al
espritu y finalidad de aquellas.
ANEXO IV
Glosario
Activo. Componente o funcionalidad de un sistema de informacin susceptible de ser
atacado deliberada o accidentalmente con consecuencias para la organizacin. Incluye:
informacin, datos, servicios, aplicaciones (software), equipos (hardware), comunicaciones,
recursos administrativos, recursos fsicos y recursos humanos.
Anlisis de riesgos. Utilizacin sistemtica de la informacin disponible para identificar
peligros y estimar los riesgos.
Auditora de la seguridad. Revisin y examen independientes de los registros y
actividades del sistema para verificar la idoneidad de los controles del sistema, asegurar
que se cumplen la poltica de seguridad y los procedimientos operativos establecidos,
detectar las infracciones de la seguridad y recomendar modificaciones apropiadas de los
controles, de la poltica y de los procedimientos.
Autenticidad. Propiedad o caracterstica consistente en que una entidad es quien dice
ser o bien que garantiza la fuente de la que proceden los datos.
Categora de un sistema. Es un nivel, dentro de la escala Bsica-Media-Alta, con el
que se adjetiva un sistema a fin de seleccionar las medidas de seguridad necesarias para
el mismo. La categora del sistema recoge la visin holstica del conjunto de activos como
un todo armnico, orientado a la prestacin de unos servicios.
Confidencialidad. Propiedad o caracterstica consistente en que la informacin ni se
pone a disposicin, ni se revela a individuos, entidades o procesos no autorizados.
Disponibilidad. Propiedad o caracterstica de los activos consistente en que las
entidades o procesos autorizados tienen acceso a los mismos cuando lo requieren.
Firma electrnica. Conjunto de datos en forma electrnica, consignados junto a otros
o asociados con ellos, que pueden ser utilizados como medio de identificacin del
firmante.
Gestin de incidentes. Plan de accin para atender a las incidencias que se den.
Adems de resolverlas debe incorporar medidas de desempeo que permitan conocer la
calidad del sistema de proteccin y detectar tendencias antes de que se conviertan en
grandes problemas.
Gestin de riesgos. Actividades coordinadas para dirigir y controlar una organizacin
con respecto a los riesgos.
Incidente de seguridad. Suceso inesperado o no deseado con consecuencias en
detrimento de la seguridad del sistema de informacin.
cve: BOE-A-2010-1330
Nm. 25

Sec. I. Pg. 8137
Integridad. Propiedad o caracterstica consistente en que el activo de informacin no

ha sido alterado de manera no autorizada.
Medidas de seguridad. Conjunto de disposiciones encaminadas a protegerse de los
riesgos posibles sobre el sistema de informacin, con el fin de asegurar sus objetivos de
seguridad. Puede tratarse de medidas de prevencin, de disuasin, de proteccin, de
deteccin y reaccin, o de recuperacin.
Poltica de firma electrnica. Conjunto de normas de seguridad, de organizacin,
tcnicas y legales para determinar cmo se generan, verifican y gestionan firmas
electrnicas, incluyendo las caractersticas exigibles a los certificados de firma.
Poltica de seguridad. Conjunto de directrices plasmadas en documento escrito, que
rigen la forma en que una organizacin gestiona y protege la informacin y los servicios
que considera crticos.
Principios bsicos de seguridad. Fundamentos que deben regir toda accin orientada
a asegurar la informacin y los servicios.
Proceso. Conjunto organizado de actividades que se llevan a cabo para producir a un
producto o servicio; tiene un principio y fin delimitado, implica recursos y da lugar a un
resultado.
Proceso de seguridad. Mtodo que se sigue para alcanzar los objetivos de seguridad
de la organizacin. El proceso se disea para identificar, medir, gestionar y mantener bajo
control los riesgos a que se enfrenta el sistema en materia de seguridad.
Requisitos mnimos de seguridad. Exigencias necesarias para asegurar la informacin
y los servicios.
Riesgo. Estimacin del grado de exposicin a que una amenaza se materialice sobre
uno o ms activos causando daos o perjuicios a la organizacin.
Seguridad de las redes y de la informacin, es la capacidad de las redes o de los
sistemas de informacin de resistir, con un determinado nivel de confianza, los accidentes
o acciones ilcitas o malintencionadas que comprometan la disponibilidad, autenticidad,
integridad y confidencialidad de los datos almacenados o transmitidos y de los servicios
que dichas redes y sistemas ofrecen o hacen accesibles.
Servicios acreditados. Servicios prestados por un sistema con autorizacin concedida
por la autoridad responsable, para tratar un tipo de informacin determinada, en unas
condiciones precisas de las dimensiones de seguridad, con arreglo a su concepto de
operacin.
Sistema de gestin de la seguridad de la informacin (SGSI). Sistema de gestin que,
basado en el estudio de los riesgos, se establece para crear, implementar, hacer funcionar,
supervisar, revisar, mantener y mejorar la seguridad de la informacin. El sistema de
gestin incluye la estructura organizativa, las polticas, las actividades de planificacin, las
responsabilidades, las prcticas, los procedimientos, los procesos y los recursos.
Sistema de informacin. Conjunto organizado de recursos para que la informacin se
pueda recoger, almacenar, procesar o tratar, mantener, usar, compartir, distribuir, poner a
disposicin, presentar o transmitir.
Trazabilidad. Propiedad o caracterstica consistente en que las actuaciones de una
entidad pueden ser imputadas exclusivamente a dicha entidad.
Vulnerabilidad. Una debilidad que puede ser aprovechada por una amenaza.
Acrnimos
CCN: Centro Criptolgico Nacional.
CERT: Computer Emergency Reaction Team.
INTECO: Instituto Nacional de Tecnologas de la Comunicacin.
STIC: Seguridad de las Tecnologas de Informacin y Comunicaciones.
cve: BOE-A-2010-1330
Nm. 25

Nm. 25
Sec. I. Pg. 8138
ANEXO V
Modelo de clusula administrativa particular
cve: BOE-A-2010-1330
Clusula administrativa particular.En cumplimiento con lo dispuesto en el artculo99.4

de la Ley 30/2007, de 30 de octubre, de Contratos del Sector Pblico, y el artculo 18 del
Real Decreto /, de de por el que se regula el Esquema Nacional
de Seguridad, el licitador incluir referencia precisa, documentada y acreditativa de que
los productos de seguridad, equipos, sistemas, aplicaciones o sus componentes, han sido
previamente certificados por el Organismo de Certificacin del Esquema Nacional de
Evaluacin y Certificacin de Seguridad de las Tecnologas de la Informacin.
En el caso de que no exista la certificacin indicada en el prrafo anterior, o est en
proceso, se incluir, igualmente, referencia precisa, documentada y acreditativa de que
son los ms idneos.
Cuando estos sean empleados para el tratamiento de datos de carcter personal, el
licitador incluir, tambin, lo establecido en la Disposicin adicional nica del Real Decreto
1720/2007, de 21 de diciembre.
http://www.boe.es
BOLETNOFICIALDELESTADO
D.L.:M-1/1958-ISSN:0212-033X

Tema 68 BOE-A-2010-1330

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Tema 68 BOE-A-2010-1330

Cargado por

Copyright:

Formatos disponibles

BOLETN OFICIAL DEL ESTADO

Viernes 29 de enero de 2010

Sec. I. Pg. 8089

Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional

La necesaria generalizacin de la sociedad de la informacin es subsidiaria, en gran

El Esquema Nacional de Seguridad tiene presentes las recomendaciones de la Unin

BOLETN OFICIAL DEL ESTADO

Sec. I. Pg. 8090

los servicios electrnicos existentes en las mismas, la utilizacin de estndares abiertos y,

BOLETN OFICIAL DEL ESTADO

Viernes 29 de enero de 2010

Sec. I. Pg. 8091

La norma se estructura en diez captulos, cuatro disposiciones adicionales, una

Artculo 2. Definiciones y estndares.

BOLETN OFICIAL DEL ESTADO

Viernes 29 de enero de 2010

Sec. I. Pg. 8092

Artculo 5. La seguridad como un proceso integral.

1. La seguridad del sistema debe contemplar los aspectos de prevencin, deteccin

Artculo 7. Prevencin, reaccin y recuperacin.

BOLETN OFICIAL DEL ESTADO

Viernes 29 de enero de 2010

Sec. I. Pg. 8093

Organizacin e implantacin del proceso de seguridad.

1. Todos los rganos superiores de las Administraciones pblicas debern disponer

BOLETN OFICIAL DEL ESTADO

Viernes 29 de enero de 2010

Sec. I. Pg. 8094

2. A los efectos indicados en el apartado anterior, se considerarn rganos superiores,

Artculo 15. Profesionalidad.

BOLETN OFICIAL DEL ESTADO

Sec. I. Pg. 8095

2. El personal de las Administraciones pblicas recibir la formacin especfica

BOLETN OFICIAL DEL ESTADO

Sec. I. Pg. 8096

2. Se deber conocer en todo momento el estado de seguridad de los sistemas, en

BOLETN OFICIAL DEL ESTADO

Sec. I. Pg. 8097

Artculo 27. Cumplimiento de requisitos mnimos.

BOLETN OFICIAL DEL ESTADO

Sec. I. Pg. 8098

Artculo 32. Requerimientos tcnicos de notificaciones y publicaciones electrnicas.

BOLETN OFICIAL DEL ESTADO

Sec. I. Pg. 8099

7. En el caso de los sistemas de categora ALTA, visto el dictamen de auditora, el

BOLETN OFICIAL DEL ESTADO

Sec. I. Pg. 8100

conocimientos del personal de la Administracin y de lograr la sensibilizacin y mejora de

BOLETN OFICIAL DEL ESTADO

Viernes 29 de enero de 2010

Sec. I. Pg. 8101

El Comit de Seguridad de la Informacin de las Administraciones Pblicas, dependiente

Disposicin adicional tercera. Comit de Seguridad de la Informacin de las Administraciones

BOLETN OFICIAL DEL ESTADO

Sec. I. Pg. 8102

Disposicin adicional cuarta. Modificacin del Reglamento de desarrollo de la Ley

BOLETN OFICIAL DEL ESTADO

Viernes 29 de enero de 2010

Sec. I. Pg. 8103

Alcanzar sus objetivos.

La determinacin de la categora de un sistema se realizar de acuerdo con lo

3. Determinacin del nivel requerido en una dimensin de seguridad.

1. La reduccin de forma apreciable de la capacidad de la organizacin para atender

a) Nivel BAJO. Se utilizar cuando las consecuencias de un incidente de seguridad