Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Ministerio de la Presidencia
BOE nm. 25, de 29 de enero de 2010
Referencia: BOE-A-2010-1330
TEXTO CONSOLIDADO
ltima modificacin: 4 de noviembre de 2015
I
La necesaria generalizacin de la sociedad de la informacin es subsidiaria, en gran
medida, de la confianza que genere en los ciudadanos la relacin a travs de medios
electrnicos.
En el mbito de las Administraciones pblicas, la consagracin del derecho a
comunicarse con ellas a travs de medios electrnicos comporta una obligacin correlativa
de las mismas, que tiene, como premisas, la promocin de las condiciones para que la
libertad y la igualdad sean reales y efectivas, y la remocin de los obstculos que impidan o
dificulten su plenitud, lo que demanda incorporar las peculiaridades que exigen una
aplicacin segura de estas tecnologas.
A ello ha venido a dar respuesta el artculo 42.2 de la Ley 11/2007, de 22 de junio, de
acceso electrnico de los ciudadanos a los servicios pblicos, mediante la creacin del
Esquema Nacional de Seguridad, cuyo objeto es el establecimiento de los principios y
requisitos de una poltica de seguridad en la utilizacin de medios electrnicos que permita la
adecuada proteccin de la informacin.
La finalidad del Esquema Nacional de Seguridad es la creacin de las condiciones
necesarias de confianza en el uso de los medios electrnicos, a travs de medidas para
garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios
electrnicos, que permita a los ciudadanos y a las Administraciones pblicas, el ejercicio de
derechos y el cumplimiento de deberes a travs de estos medios.
El Esquema Nacional de Seguridad persigue fundamentar la confianza en que los
sistemas de informacin prestarn sus servicios y custodiarn la informacin de acuerdo con
sus especificaciones funcionales, sin interrupciones o modificaciones fuera de control, y sin
que la informacin pueda llegar al conocimiento de personas no autorizadas. Se desarrollar
y perfeccionar en paralelo a la evolucin de los servicios y a medida que vayan
consolidndose los requisitos de los mismos y de las infraestructuras que lo apoyan.
Actualmente los sistemas de informacin de las administraciones pblicas estn
fuertemente imbricados entre s y con sistemas de informacin del sector privado: empresas
y administrados. De esta manera, la seguridad tiene un nuevo reto que va ms all del
aseguramiento individual de cada sistema. Es por ello que cada sistema debe tener claro su
permetro y los responsables de cada dominio de seguridad deben coordinarse
efectivamente para evitar tierras de nadie y fracturas que pudieran daar a la informacin
o a los servicios prestados.
Pgina 1
Pgina 2
Pgina 3
Pgina 4
Pgina 7
Pgina 8
Pgina 9
Pgina 10
Pgina 11
Pgina 12
Pgina 14
ANEXOS
ANEXO I
Categoras de los sistemas
1. Fundamentos para la determinacin de la categora de un sistema.
La determinacin de la categora de un sistema se basa en la valoracin del impacto que
tendra sobre la organizacin un incidente que afectara a la seguridad de la informacin o de
los sistemas, con repercusin en la capacidad organizativa para:
a) Alcanzar sus objetivos.
b) Proteger los activos a su cargo.
c) Cumplir sus obligaciones diarias de servicio.
d) Respetar la legalidad vigente.
e) Respetar los derechos de las personas.
La determinacin de la categora de un sistema se realizar de acuerdo con lo
establecido en el presente real decreto, y ser de aplicacin a todos los sistemas empleados
para la prestacin de los servicios de la Administracin electrnica y soporte del
procedimiento administrativo general.
2. Dimensiones de la seguridad.
A fin de poder determinar el impacto que tendra sobre la organizacin un incidente que
afectara a la seguridad de la informacin o de los sistemas, y de poder establecer la
categora del sistema, se tendrn en cuenta las siguientes dimensiones de la seguridad, que
sern identificadas por sus correspondientes iniciales en maysculas:
a) Disponibilidad [D].
b) Autenticidad [A].
c) Integridad [I].
d) Confidencialidad [C].
e) Trazabilidad [T].
3. Determinacin del nivel requerido en una dimensin de seguridad.
Una informacin o un servicio pueden verse afectados en una o ms de sus dimensiones
de seguridad. Cada dimensin de seguridad afectada se adscribir a uno de los siguientes
niveles: BAJO, MEDIO o ALTO. Si una dimensin de seguridad no se ve afectada, no se
adscribir a ningn nivel.
Pgina 15
Pgina 16
Dimensiones
Afectadas B
M
categora
categora
categora
categora
=
=
=
=
org
org.1
org.2
org.3
org.4
Marco organizativo
Poltica de seguridad
Normativa de seguridad
Procedimientos de seguridad
Proceso de autorizacin
++
op
op.pl
op.pl.1
Marco operacional
Planificacin
Anlisis de riesgos
aplica
aplica
aplica
aplica
categora aplica
=
=
=
=
Medidas de seguridad
Pgina 17
Dimensiones
Afectadas B
M
A
categora aplica
+
++
categora aplica
=
=
D
n.a. aplica
=
categora n.a. n.a. aplica
AT
ICAT
ICAT
ICAT
ICAT
ICAT
ICAT
aplica
=
aplica
=
n.a. aplica
aplica
=
aplica
+
aplica
+
aplica
+
=
=
=
=
++
++
=
categora
categora
categora
categora
categora
categora
categora
T
categora
T
categora
aplica
aplica
n.a.
aplica
n.a.
aplica
n.a.
aplica
n.a.
n.a.
aplica
=
=
=
=
aplica
=
=
=
aplica
=
=
=
aplica
=
+
++
aplica
=
n.a. aplica
+
=
categora
categora
D
n.a.
n.a.
n.a.
aplica
=
aplica
=
n.a. aplica
D
D
D
n.a.
n.a.
n.a.
aplica
=
n.a. aplica
n.a. aplica
categora
categora
n.a.
n.a.
aplica
=
n.a. aplica
categora
categora
categora
D
D
D
categora
D
aplica
=
=
aplica
=
=
aplica
=
=
aplica
+
=
aplica
=
=
n.a. aplica
=
aplica
=
=
n.a. n.a. aplica
=
+
+
=
categora aplica
=
+
C
n.a. aplica
+
IA
aplica
+
++
categora n.a. n.a. aplica
D
n.a. n.a. aplica
C
IC
categora
categora
C
aplica
=
n.a. aplica
aplica
=
aplica
=
aplica
+
=
+
=
=
=
=
++
categora aplica
C
aplica
C
n.a.
IA
aplica
=
+
n.a.
+
=
=
aplica
++
Medidas de seguridad
op.pl.2
op.pl.3
op.pl.4
op.pl.5
op.acc
op.acc.1
op.acc.2
op.acc.3
op.acc.4
op.acc.5
op.acc.6
op.acc.7
op.exp
op.exp.1
op.exp.2
op.exp.3
op.exp.4
op.exp.5
op.exp.6
op.exp.7
op.exp.8
op.exp.9
op.exp.10
op.exp.11
op.ext
op.ext.1
op.ext.2
op.ext.9
op.cont
op.cont.1
op.cont.2
op.cont.3
op.mon
op.mon.1
op.mon.2
Arquitectura de seguridad
Adquisicin de nuevos componentes
Dimensionamiento/Gestin de capacidades
Componentes certificados
Control de acceso
Identificacin
Requisitos de acceso
Segregacin de funciones y tareas
Proceso de gestin de derechos de acceso
Mecanismo de autenticacin
Acceso local (local logon)
Acceso remoto (remote login)
Explotacin
Inventario de activos
Configuracin de seguridad
Gestin de la configuracin
Mantenimiento
Gestin de cambios
Proteccin frente a cdigo daino
Gestin de incidentes
Registro de la actividad de los usuarios
Registro de la gestin de incidentes
Proteccin de los registros de actividad
Proteccin de claves criptogrficas
Servicios externos
Contratacin y acuerdos de nivel de servicio
Gestin diaria
Medios alternativos
Continuidad del servicio
Anlisis de impacto
Plan de continuidad
Pruebas peridicas
Monitorizacin del sistema
Deteccin de intrusin
Sistema de mtricas
mp
mp.if
mp.if.1
mp.if.2
mp.if.3
mp.if.4
mp.if.5
mp.if.6
mp.if.7
mp.if.9
mp.per
mp.per.1
mp.per.2
mp.per.3
mp.per.4
mp.per.9
mp.eq
mp.eq.1
mp.eq.2
mp.eq.3
mp.eq.9
mp.com
mp.com.1
mp.com.2
mp.com.3
mp.com.4
mp.com.9
mp.si
mp.si.1
mp.si.2
mp.si.3
mp.si.4
mp.si.5
mp.sw
mp.sw.1
mp.sw.2
mp.info
mp.info.1
mp.info.2
mp.info.3
mp.info.4
Medidas de proteccin
Proteccin de las instalaciones e infraestructuras
reas separadas y con control de acceso
Identificacin de las personas
Acondicionamiento de los locales
Energa elctrica
Proteccin frente a incendios
Proteccin frente a inundaciones
Registro de entrada y salida de equipamiento
Instalaciones alternativas
Gestin del personal
Caracterizacin del puesto de trabajo
Deberes y obligaciones
Concienciacin
Formacin
Personal alternativo
Proteccin de los equipos
Puesto de trabajo despejado
Bloqueo de puesto de trabajo
Proteccin de equipos porttiles
Medios alternativos
Proteccin de las comunicaciones
Permetro seguro
Proteccin de la confidencialidad
Proteccin de la autenticidad y de la integridad
Segregacin de redes
Medios alternativos
Proteccin de los soportes de informacin
Etiquetado
Criptografa
Custodia
Transporte
Borrado y destruccin
Proteccin de las aplicaciones informticas
Desarrollo
Aceptacin y puesta en servicio
Proteccin de la informacin
Datos de carcter personal
Calificacin de la informacin
Cifrado
Firma electrnica
Pgina 18
Dimensiones
Afectadas B
M
T
n.a. n.a.
C
aplica
=
D
aplica
=
Medidas de seguridad
A
aplica mp.info.5 Sellos de tiempo
= mp.info.6 Limpieza de documentos
= mp.info.9 Copias de seguridad (backup)
mp.s
Proteccin de los servicios
categora aplica
=
= mp.s.1
Proteccin del correo electrnico
categora aplica
=
+ mp.s.2
Proteccin de servicios y aplicaciones web
D
n.a. aplica
+ mp.s.8
Proteccin frente a la denegacin de servicio
D
n.a. n.a. aplica mp.s.9
Medios alternativos
Se establecer un proceso formal de autorizaciones que cubra todos los elementos del
sistema de informacin:
a) Utilizacin de instalaciones, habituales y alternativas.
b) Entrada de equipos en produccin, en particular, equipos que involucren criptografa.
c) Entrada de aplicaciones en produccin.
d) Establecimiento de enlaces de comunicaciones con otros sistemas.
e) Utilizacin de medios de comunicacin, habituales y alternativos.
f) Utilizacin de soportes de informacin.
g) Utilizacin de equipos mviles. Se entender por equipos mviles ordenadores
porttiles, PDA, u otros de naturaleza anloga.
h) Utilizacin de servicios de terceros, bajo contrato o Convenio.
4. Marco operacional [op]
El marco operacional est constituido por las medidas a tomar para proteger la operacin
del sistema como conjunto integral de componentes para un fin.
4.1 Planificacin [op.pl].
4.1.1 Anlisis de riesgos [op.pl.1].
dimensiones Todas
categora
bsica media alta
aplica
+
++
Categora BSICA
Bastar un anlisis informal, realizado en lenguaje natural. Es decir, una exposicin
textual que describa los siguientes aspectos:
a) Identifique los activos ms valiosos del sistema.
b) Identifique las amenazas ms probables.
c) Identifique las salvaguardas que protegen de dichas amenazas.
d) Identifique los principales riesgos residuales.
Categora MEDIA
Pgina 20
Nivel MEDIO
Con carcter previo a la puesta en explotacin, se realizar un estudio previo que cubrir
los siguientes aspectos:
a) Necesidades de procesamiento.
b) Necesidades de almacenamiento de informacin: durante su procesamiento y durante
el periodo que deba retenerse.
d) Necesidades de comunicacin.
e) Necesidades de personal: cantidad y cualificacin profesional.
f) Necesidades de instalaciones y medios auxiliares.
4.1.5 Componentes certificados [op.pl.5].
dimensiones Todas
categora
bsica
media
alta
no aplica no aplica aplica
Categora ALTA
Se utilizarn sistemas, productos o equipos cuyas funcionalidades de seguridad y su
nivel hayan sido evaluados conforme a normas europeas o internacionales y cuyos
certificados estn reconocidos por el Esquema Nacional de Evaluacin y Certificacin de la
Seguridad de las Tecnologas de la Informacin.
Tendrn la consideracin de normas europeas o internacionales, ISO/IEC 15408 u otras
de naturaleza y calidad anlogas.
Una instruccin tcnica de seguridad detallar los criterios exigibles.
4.2 Control de acceso. [op.acc].
El control de acceso cubre el conjunto de actividades preparatorias y ejecutivas para que
una determinada entidad, usuario o proceso, pueda, o no, acceder a un recurso del sistema
para realizar una determinada accin.
El control de acceso que se implante en un sistema real ser un punto de equilibrio entre
la comodidad de uso y la proteccin de la informacin. En sistemas de nivel Bajo, se primar
la comodidad, mientras que en sistemas de nivel Alto se primar la proteccin.
En todo control de acceso se requerir lo siguiente:
Pgina 22
La identificacin de los usuarios del sistema se realizar de acuerdo con lo que se indica
a continuacin:
1. Se podrn utilizar como identificador nico los sistemas de identificacin previstos en
la normativa de aplicacin.
2. Cuando el usuario tenga diferentes roles frente al sistema (por ejemplo, como
ciudadano, como trabajador interno del organismo y como administrador de los sistemas)
recibir identificadores singulares para cada uno de los casos de forma que siempre queden
delimitados privilegios y registros de actividad.
3. Cada entidad (usuario o proceso) que accede al sistema, contar con un identificador
singular de tal forma que:
a) Se puede saber quin recibe y qu derechos de acceso recibe.
b) Se puede saber quin ha hecho algo y qu ha hecho.
4. Las cuentas de usuario se gestionarn de la siguiente forma:
a) Cada cuenta estar asociada a un identificador nico.
b) Las cuentas deben ser inhabilitadas en los siguientes casos: cuando el usuario deja la
organizacin; cuando el usuario cesa en la funcin para la cual se requera la cuenta de
usuario; o, cuando la persona que la autoriz, da orden en sentido contrario.
c) Las cuentas se retendrn durante el periodo necesario para atender a las necesidades
de trazabilidad de los registros de actividad asociados a las mismas. A este periodo se le
denominar periodo de retencin.
5. En los supuestos contemplados en el Captulo IV relativo a "Comunicaciones
Electrnicas", las partes intervinientes se identificarn de acuerdo a los mecanismos
previstos en la legislacin europea y nacional en la materia, con la siguiente correspondencia
entre los niveles de la dimensin de autenticidad de los sistemas de informacin a los que se
tiene acceso y los niveles de seguridad (bajo, sustancial, alto) de los sistemas de
identificacin electrnica previstos en el Reglamento n. 910/2014, del Parlamento Europeo y
del Consejo, de 23 de julio de 2014, relativo a la identificacin electrnica y los servicios de
confianza para las transacciones electrnicas en el mercado interior y por el que se deroga
la Directiva 1999/93/CE:
Pgina 23
Nivel MEDIO
El sistema de control de acceso se organizar de forma que se exija la concurrencia de
dos o ms personas para realizar tareas crticas, anulando la posibilidad de que un solo
individuo autorizado, pueda abusar de sus derechos para cometer alguna accin ilcita.
En concreto, se separarn al menos las siguientes funciones:
a) Desarrollo de operacin.
b) Configuracin y mantenimiento del sistema de operacin.
c) Auditora o supervisin de cualquier otra funcin.
4.2.4 Proceso de gestin de derechos de acceso [op.acc.4].
dimensiones I C A T
nivel
bajo medio alto
aplica
=
=
Pgina 24
dimensiones ICAT
nivel
bajo medio alto
aplica
+
++
Pgina 25
Se considera acceso local al realizado desde puestos de trabajo dentro de las propias
instalaciones de la organizacin. Estos accesos tendrn en cuenta el nivel de las
dimensiones de seguridad:
Nivel BAJO
a) Se prevendrn ataques que puedan revelar informacin del sistema sin llegar a
acceder al mismo. La informacin revelada a quien intenta acceder, debe ser la mnima
imprescindible (los dilogos de acceso proporcionarn solamente la informacin
indispensable).
b) El nmero de intentos permitidos ser limitado, bloqueando la oportunidad de acceso
una vez efectuados un cierto nmero de fallos consecutivos.
c) Se registrarn los accesos con xito, y los fallidos.
d) El sistema informar al usuario de sus obligaciones inmediatamente despus de
obtener el acceso.
Nivel MEDIO
Se informar al usuario del ltimo acceso efectuado con su identidad.
Nivel ALTO
a) El acceso estar limitado por horario, fechas y lugar desde donde se accede.
b) Se definirn aquellos puntos en los que el sistema requerir una renovacin de la
autenticacin del usuario, mediante identificacin singular, no bastando con la sesin
establecida.
4.2.7 Acceso remoto [op.acc.7].
dimensiones I C A T
nivel
bajo medio alto
aplica
+
=
Pgina 26
dimensiones Todas
categora
bsica media alta
aplica
=
=
Categora MEDIA
Se gestionar de forma continua la configuracin de los componentes del sistema de
forma que:
a) Se mantenga en todo momento la regla de "funcionalidad mnima" ([op.exp.2]).
b) Se mantenga en todo momento la regla de "seguridad por defecto" ([op.exp.2]).
c) El sistema se adapte a las nuevas necesidades, previamente autorizadas ([op.acc.4]).
d) El sistema reaccione a vulnerabilidades reportadas ([op.exp.4]).
e) El sistema reaccione a incidentes (ver [op.exp.7]).
4.3.4 Mantenimiento [op.exp.4].
dimensiones todas
categora
bsica media alta
aplica
=
=
Pgina 27
Categora MEDIA
Se mantendr un control continuo de cambios realizados en el sistema, de forma que:
a) Todos los cambios anunciados por el fabricante o proveedor sern analizados para
determinar su conveniencia para ser incorporados, o no.
b) Antes de poner en produccin una nueva versin o una versin parcheada, se
comprobar en un equipo que no est en produccin, que la nueva instalacin funciona
correctamente y no disminuye la eficacia de las funciones necesarias para el trabajo diario.
El equipo de pruebas ser equivalente al de produccin en los aspectos que se comprueban.
c) Los cambios se planificarn para reducir el impacto sobre la prestacin de los
servicios afectados.
d) Mediante anlisis de riesgos se determinar si los cambios son relevantes para la
seguridad del sistema. Aquellos cambios que impliquen una situacin de riesgo de nivel alto
sern aprobados explcitamente de forma previa a su implantacin.
4.3.6 Proteccin frente a cdigo daino [op.exp.6].
dimensiones todas
categora
bsica media alta
aplica
=
=
Se considera cdigo daino: los virus, los gusanos, los troyanos, los programas espas,
conocidos en terminologa inglesa como spyware, y en general, todo lo conocido como
malware.
Se dispondr de mecanismos de prevencin y reaccin frente a cdigo daino con
mantenimiento de acuerdo a las recomendaciones del fabricante.
4.3.7 Gestin de incidentes [op.exp.7].
dimensiones Todas
categora
bsica media alta
no aplica aplica =
Categora MEDIA
Se dispondr de un proceso integral para hacer frente a los incidentes que puedan tener
un impacto en la seguridad del sistema, incluyendo:
a) Procedimiento de reporte de eventos de seguridad y debilidades, detallando los
criterios de clasificacin y el escalado de la notificacin.
b) Procedimiento de toma de medidas urgentes, incluyendo la detencin de servicios, el
aislamiento del sistema afectado, la recogida de evidencias y proteccin de los registros,
segn convenga al caso.
c) Procedimiento de asignacin de recursos para investigar las causas, analizar las
consecuencias y resolver el incidente.
d) Procedimientos para informar a las partes interesadas, internas y externas.
Pgina 28
e) Procedimientos para:
1. Prevenir que se repita el incidente.
2. Incluir en los procedimientos de usuario la identificacin y forma de tratar el incidente.
3. Actualizar, extender, mejorar u optimizar los procedimientos de resolucin de
incidentes.
La gestin de incidentes que afecten a datos de carcter personal tendr en cuenta lo
dispuesto en la Ley Orgnica 15/1999, de 13 de diciembre, y normas de desarrollo, sin
perjuicio de cumplir, adems, las medidas establecidas por este real decreto.
4.3.8 Registro de la actividad de los usuarios [op.exp.8].
dimensiones T
nivel
bajo medio alto
aplica
+
++
Categora MEDIA
Se registrarn todas las actuaciones relacionadas con la gestin de incidentes, de forma
que:
a) Se registrar el reporte inicial, las actuaciones de emergencia y las modificaciones del
sistema derivadas del incidente.
b) Se registrar aquella evidencia que pueda, posteriormente, sustentar una demanda
judicial, o hacer frente a ella, cuando el incidente pueda llevar a actuaciones disciplinarias
sobre el personal interno, sobre proveedores externos o a la persecucin de delitos. En la
determinacin de la composicin y detalle de estas evidencias, se recurrir a asesoramiento
legal especializado.
c) Como consecuencia del anlisis de los incidentes, se revisar la determinacin de los
eventos auditables.
4.3.10 Proteccin de los registros de actividad [op.exp.10].
Pgina 29
dimensiones T
nivel
bajo
medio
alto
no aplica no aplica aplica
Nivel ALTO
Se protegern los registros del sistema, de forma que:
a) Se determinar el periodo de retencin de los registros.
b) Se asegurar la fecha y hora. Ver [mp.info.5].
c) Los registros no podrn ser modificados ni eliminados por personal no autorizado.
d) Las copias de seguridad, si existen, se ajustarn a los mismos requisitos.
4.3.11 Proteccin de claves criptogrficas [op.exp.11].
dimensiones Todas
categora
bsica media alta
aplica
+
=
Las claves criptogrficas se protegern durante todo su ciclo de vida: (1) generacin, (2)
transporte al punto de explotacin, (3) custodia durante la explotacin, (4) archivo posterior a
su retirada de explotacin activa y (5) destruccin final.
Categora BSICA
a) Los medios de generacin estarn aislados de los medios de explotacin.
b) Las claves retiradas de operacin que deban ser archivadas, lo sern en medios
aislados de los de explotacin.
Categora MEDIA
a) Se usarn programas evaluados o dispositivos criptogrficos certificados conforme a
lo establecido en [op.pl.5].
b) Se emplearn algoritmos acreditados por el Centro Criptolgico Nacional.
4.4 Servicios externos [op.ext].
Cuando se utilicen recursos externos a la organizacin, sean servicios, equipos,
instalaciones o personal, deber tenerse en cuenta que la delegacin se limita a las
funciones.
La organizacin sigue siendo en todo momento responsable de los riesgos en que se
incurre en la medida en que impacten sobre la informacin manejada y los servicios finales
prestados por la organizacin.
La organizacin dispondr las medidas necesarias para poder ejercer su responsabilidad
y mantener el control en todo momento.
4.4.1 Contratacin y acuerdos de nivel de servicio [op.ext.1].
dimensiones todas
categora
bsica media alta
no aplica aplica =
Categora MEDIA
Previa a la utilizacin de recursos externos se establecern contractualmente las
caractersticas del servicio prestado y las responsabilidades de las partes. Se detallar lo
que se considera calidad mnima del servicio prestado y las consecuencias de su
incumplimiento.
4.4.2 Gestin diaria [op.ext.2].
dimensiones Todas
categora
bsica
Pgina 30
media alta
no aplica aplica
Categora MEDIA
Para la gestin diaria del sistema, se establecern los siguientes puntos:
a) Un sistema rutinario para medir el cumplimiento de las obligaciones de servicio y el
procedimiento para neutralizar cualquier desviacin fuera del margen de tolerancia acordado
([op.ext.1]).
b) El mecanismo y los procedimientos de coordinacin para llevar a cabo las tareas de
mantenimiento de los sistemas afectados por el acuerdo.
c) El mecanismo y los procedimientos de coordinacin en caso de incidentes y desastres
(ver [op.exp.7]).
4.4.3 Medios alternativos [op.ext.9].
dimensiones D
nivel
bajo
medio
alto
no aplica no aplica aplica
Nivel ALTO
Estar prevista la provisin del servicio por medios alternativos en caso de
indisponibilidad del servicio contratado. El servicio alternativo disfrutar de las mismas
garantas de seguridad que el servicio habitual.
4.5 Continuidad del servicio [op.cont].
4.5.1 Anlisis de impacto [op.cont.1].
dimensiones D
nivel
bajo
medio alto
no aplica aplica =
Nivel MEDIO
Se realizar un anlisis de impacto que permita determinar:
a) Los requisitos de disponibilidad de cada servicio medidos como el impacto de una
interrupcin durante un cierto periodo de tiempo.
b) Los elementos que son crticos para la prestacin de cada servicio.
4.5.2 Plan de continuidad [op.cont.2].
dimensiones D
nivel
bajo
medio
alto
no aplica no aplica aplica
Nivel ALTO
Se desarrollar un plan de continuidad que establezca las acciones a ejecutar en caso
de interrupcin de los servicios prestados con los medios habituales. Este plan contemplar
los siguientes aspectos:
a) Se identificarn funciones, responsabilidades y actividades a realizar.
b) Existir una previsin de los medios alternativos que se va a conjugar para poder
seguir prestando los servicios.
c) Todos los medios alternativos estarn planificados y materializados en acuerdos o
contratos con los proveedores correspondientes.
d) Las personas afectadas por el plan recibirn formacin especfica relativa a su papel
en dicho plan.
Pgina 31
Nivel ALTO
Se realizarn pruebas peridicas para localizar y, corregir en su caso, los errores o
deficiencias que puedan existir en el plan de continuidad
4.6 Monitorizacin del sistema [op.mon].
El sistema estar sujeto a medidas de monitorizacin de su actividad.
4.6.1 Deteccin de intrusin [op.mon.1].
dimensiones Todas
categora
bsica media alta
no aplica aplica =
Categora MEDIA
Se dispondrn de herramientas de deteccin o de prevencin de intrusin.
4.6.2 Sistema de mtricas [op.mon.2].
dimensiones Todas
categora
bsica media alta
aplica
+
++
Categora BSICA:
Se recopilarn los datos necesarios atendiendo a la categora del sistema para conocer
el grado de implantacin de las medidas de seguridad que apliquen de las detalladas en el
Anexo II y, en su caso, para proveer el informe anual requerido por el artculo 35.
Categora MEDIA:
Adems, se recopilaran datos para valorar el sistema de gestin de incidentes,
permitiendo conocer
Nmero de incidentes de seguridad tratados.
Tiempo empleado para cerrar el 50% de los incidentes.
Tiempo empleado para cerrar el 90% de las incidentes.
Categora ALTA
Se recopilarn datos para conocer la eficiencia del sistema de seguridad TIC:
Recursos consumidos: horas y presupuesto.
5. Medidas de proteccin [mp]
Las medidas de proteccin, se centrarn en proteger activos concretos, segn su
naturaleza, con el nivel requerido en cada dimensin de seguridad.
5.1 Proteccin de las instalaciones e infraestructuras [mp.if].
5.1.1 reas separadas y con control de acceso [mp.if.1].
dimensiones todas
Pgina 32
categora
Nivel BAJO
Los locales donde se ubiquen los sistemas de informacin y sus componentes
dispondrn de la energa elctrica, y sus tomas correspondientes, necesaria para su
funcionamiento, de forma que en los mismos:
a) Se garantizar el suministro de potencia elctrica.
b) Se garantizar el correcto funcionamiento de las luces de emergencia.
Nivel MEDIO
Se garantizar el suministro elctrico a los sistemas en caso de fallo del suministro
general, garantizando el tiempo suficiente para una terminacin ordenada de los procesos,
salvaguardando la informacin.
5.1.5 Proteccin frente a incendios [mp.if.5].
dimensiones D
nivel
bajo medio alto
aplica
=
=
Pgina 33
Nivel MEDIO
Los locales donde se ubiquen los sistemas de informacin y sus componentes se
protegern frente a incidentes fortuitos o deliberados causados por el agua.
5.1.7 Registro de entrada y salida de equipamiento [mp.if.7].
dimensiones todas
categora
bsica media alta
aplica
=
=
Nivel ALTO
Se garantizar la existencia y disponibilidad de instalaciones alternativas para poder
trabajar en caso de que las instalaciones habituales no estn disponibles. Las instalaciones
alternativas disfrutarn de las mismas garantas de seguridad que las instalaciones
habituales.
5.2 Gestin del personal [mp.per].
5.2.1 Caracterizacin del puesto de trabajo [mp.per.1].
dimensiones todas
categora
bsica media alta
no aplica aplica =
Categora MEDIA
Cada puesto de trabajo se caracterizar de la siguiente forma:
a) Se definirn las responsabilidades relacionadas con cada puesto de trabajo en
materia de seguridad. La definicin se basar en el anlisis de riesgos.
b) Se definirn los requisitos que deben satisfacer las personas que vayan a ocupar el
puesto de trabajo, en particular, en trminos de confidencialidad.
c) Dichos requisitos se tendrn en cuenta en la seleccin de la persona que vaya a
ocupar dicho puesto, incluyendo la verificacin de sus antecedentes laborales, formacin y
otras referencias.
5.2.2 Deberes y obligaciones [mp.per.2].
dimensiones todas
categora
bsica media alta
Pgina 34
aplica
Nivel ALTO
Se garantizar la existencia y disponibilidad de otras personas que se puedan hacer
cargo de las funciones en caso de indisponibilidad del personal habitual. El personal
Pgina 35
alternativo deber estar sometido a las mismas garantas de seguridad que el personal
habitual.
5.3 Proteccin de los equipos [mp.eq].
5.3.1 Puesto de trabajo despejado [mp.eq.1].
dimensiones todas
categora
bsica media alta
aplica
+
=
Categora BSICA
Se exigir que los puestos de trabajo permanezcan despejados, sin ms material encima
de la mesa que el requerido para la actividad que se est realizando en cada momento
Categora MEDIA
Este material se guardar en lugar cerrado cuando no se est utilizando.
5.3.2 Bloqueo de puesto de trabajo [mp.eq.2].
dimensiones A
nivel
bajo
medio alto
no aplica aplica +
Nivel MEDIO
El puesto de trabajo se bloquear al cabo de un tiempo prudencial de inactividad,
requiriendo una nueva autenticacin del usuario para reanudar la actividad en curso.
Nivel ALTO
Pasado un cierto tiempo, superior al anterior, se cancelarn las sesiones abiertas desde
dicho puesto de trabajo.
5.3.3 Proteccin de porttiles [mp.eq.3].
dimensiones Todas
categora
bsica media alta
aplica
=
+
Categora BSICA
Los equipos que sean susceptibles de salir de las instalaciones de la organizacin y no
puedan beneficiarse de la proteccin fsica correspondiente, con un riesgo manifiesto de
prdida o robo, sern protegidos adecuadamente.
Sin perjuicio de las medidas generales que les afecten, se adoptarn las siguientes:
a) Se llevar un inventario de equipos porttiles junto con una identificacin de la
persona responsable del mismo y un control regular de que est positivamente bajo su
control.
b) Se establecer un canal de comunicacin para informar, al servicio de gestin de
incidentes, de prdidas o sustracciones.
c) Cuando un equipo porttil se conecte remotamente a travs de redes que no estn
bajo el estricto control de la organizacin, el mbito de operacin del servidor limitar la
informacin y los servicios accesibles a los mnimos imprescindibles, requiriendo
autorizacin previa de los responsables de la informacin y los servicios afectados. Este
punto es de aplicacin a conexiones a travs de Internet y otras redes que no sean de
confianza.
d) Se evitar, en la medida de lo posible, que el equipo contenga claves de acceso
remoto a la organizacin. Se considerarn claves de acceso remoto aquellas que sean
Pgina 36
Categora BSICA
Se dispondr un sistema cortafuegos que separe la red interna del exterior. Todo el
trfico deber atravesar dicho cortafuegos que slo dejara transitar los flujos previamente
autorizados.
Categora ALTA
a) El sistema de cortafuegos constar de dos o ms equipos de diferente fabricante
dispuestos en cascada.
b) Se dispondrn sistemas redundantes.
5.4.2 Proteccin de la confidencialidad [mp.com.2].
dimensiones C
nivel
bajo
medio alto
no aplica aplica +
Nivel MEDIO
a) Se emplearn redes privadas virtuales cuando la comunicacin discurra por redes
fuera del propio dominio de seguridad.
b) Se emplearn algoritmos acreditados por el Centro Criptolgico Nacional.
Nivel ALTO
a) Se emplearn, preferentemente, dispositivos hardware en el establecimiento y
utilizacin de la red privada virtual.
b) Se emplearn productos certificados conforme a lo establecido en [op.pl.5].
5.4.3 Proteccin de la autenticidad y de la integridad [mp.com.3].
dimensiones I A
nivel
bajo medio alto
aplica
+
++
Pgina 37
Nivel BAJO
a) Se asegurar la autenticidad del otro extremo de un canal de comunicacin antes de
intercambiar informacin (ver [op.acc.5]).
b) Se prevendrn ataques activos, garantizando que al menos sern detectados. y se
activarn los procedimientos previstos de tratamiento del incidente Se considerarn ataques
activos:
1. La alteracin de la informacin en trnsito.
2. La inyeccin de informacin espuria.
3. El secuestro de la sesin por una tercera parte.
c) Se aceptar cualquier mecanismo de autenticacin de los previstos en normativa de
aplicacin.
Nivel MEDIO
a) Se emplearn redes privadas virtuales cuando la comunicacin discurra por redes
fuera del propio dominio de seguridad.
b) Se emplearn algoritmos acreditados por el Centro Criptolgico Nacional.
c) Se aceptar cualquier mecanismo de autenticacin de los previstos en la normativa de
aplicacin. En caso de uso de claves concertadas se aplicarn exigencias medias en cuanto
a su calidad frente a ataques de adivinacin, diccionario o fuerza bruta.
Nivel ALTO
a) Se valorar positivamente el empleo de dispositivos hardware en el establecimiento y
utilizacin de la red privada virtual.
b) Se emplearn productos certificados conforme a lo establecido en [op.pl.5].
c) Se aceptar cualquier mecanismo de autenticacin de los previstos en normativa de
aplicacin. En caso de uso de claves concertadas se aplicarn exigencias altas en cuanto a
su calidad frente a ataques de adivinacin, diccionario o fuerza bruta.
5.4.4 Segregacin de redes [mp.com.4].
dimensiones todas
categora
bsica
media
alta
no aplica no aplica aplica
Nivel ALTO
Se garantizar la existencia y disponibilidad de medios alternativos de comunicacin
para el caso de que fallen los medios habituales. Los medios alternativos de comunicacin:
Pgina 38
Pgina 39
Categora MEDIA
a) El desarrollo de aplicaciones se realizar sobre un sistema diferente y separado del de
produccin, no debiendo existir herramientas o datos de desarrollo en el entorno de
produccin.
b) Se aplicar una metodologa de desarrollo reconocida que:
1. Tome en consideracin los aspectos de seguridad a lo largo de todo el ciclo de vida.
2. Trate especficamente los datos usados en pruebas.
3. Permita la inspeccin del cdigo fuente.
4. Incluya normas de programacin segura.
c) Los siguientes elementos sern parte integral del diseo del sistema:
1. Los mecanismos de identificacin y autenticacin.
2. Los mecanismos de proteccin de la informacin tratada.
3. La generacin y tratamiento de pistas de auditora.
d) Las pruebas anteriores a la implantacin o modificacin de los sistemas de
informacin no se realizarn con datos reales, salvo que se asegure el nivel de seguridad
correspondiente.
5.6.2 Aceptacin y puesta en servicio [mp.sw.2].
Pgina 40
dimensiones todas
categora
bsica media alta
aplica
+
++
Categora BSICA
Antes de pasar a produccin se comprobar el correcto funcionamiento de la aplicacin.
a) Se comprobar que:
1. Se cumplen los criterios de aceptacin en materia de seguridad.
2. No se deteriora la seguridad de otros componentes del servicio.
b) Las pruebas se realizarn en un entorno aislado (pre-produccin).
c) Las pruebas de aceptacin no se realizarn con datos reales, salvo que se asegure el
nivel de seguridad correspondiente.
Categora MEDIA
Se realizarn las siguientes inspecciones previas a la entrada en servicio:
a) Anlisis de vulnerabilidades.
b) Pruebas de penetracin.
Categora ALTA
Se realizarn las siguientes inspecciones previas a la entrada en servicio:
a) Anlisis de coherencia en la integracin en los procesos.
b) Se considerar la oportunidad de realizar una auditora de cdigo fuente.
5.7 Proteccin de la informacin [mp.info].
5.7.1 Datos de carcter personal [mp.info.1].
dimensiones todas
categora
bsica media alta
aplica
=
=
Nivel BAJO
1. Para calificar la informacin se estar a lo establecido legalmente sobre la naturaleza
de la misma.
2. La poltica de seguridad establecer quin es el responsable de cada informacin
manejada por el sistema.
3. La poltica de seguridad recoger, directa o indirectamente, los criterios que, en cada
organizacin, determinarn el nivel de seguridad requerido, dentro del marco establecido en
el artculo 43 y los criterios generales prescritos en el Anexo I.
4. El responsable de cada informacin seguir los criterios determinados en el apartado
anterior para asignar a cada informacin el nivel de seguridad requerido, y ser responsable
de su documentacin y aprobacin formal.
Pgina 41
Nivel ALTO
Para el cifrado de informacin se estar a lo que se indica a continuacin:
a) La informacin con un nivel alto en confidencialidad se cifrar tanto durante su
almacenamiento como durante su transmisin. Slo estar en claro mientras se est
haciendo uso de ella.
b) Para el uso de criptografa en las comunicaciones, se estar a lo dispuesto en
[mp.com.2].
c) Para el uso de criptografa en los soportes de informacin, se estar a lo dispuesto en
[mp.si.2].
5.7.4 Firma electrnica [mp.info.4].
dimensiones I A
nivel
bajo medio alto
aplica
+
++
ampliar este perodo de acuerdo con lo que establezca la Poltica de Firma Electrnica y de
Certificados que sea de aplicacin. Para tal fin:
d) Se adjuntar a la firma, o se referenciar, toda la informacin pertinente para su
verificacin y validacin:
1. Certificados.
2. Datos de verificacin y validacin.
e) El organismo que recabe documentos firmados por el administrado verificar y
validar la firma recibida en el momento de la recepcin, anexando o referenciando sin
ambigedad la informacin descrita en los epgrafes 1 y 2 del apartado d).
f) La firma electrnica de documentos por parte de la Administracin anexar o
referenciar sin ambigedad la informacin descrita en los epgrafes 1 y 2.
Nivel ALTO
1. Se usar firma electrnica cualificada, incorporando certificados cualificados y
dispositivos cualificados de creacin de firma.
2. Se emplearn productos certificados conforme a lo establecido en [op.pl.5].
5.7.5 Sellos de tiempo [mp.info.5].
dimensiones T
nivel
bajo
medio
alto
no aplica no aplica aplica
Nivel ALTO
Los sellos de tiempo prevendrn la posibilidad del repudio posterior:
1. Los sellos de tiempo se aplicarn a aquella informacin que sea susceptible de ser
utilizada como evidencia electrnica en el futuro.
2. Los datos pertinentes para la verificacin posterior de la fecha sern tratados con la
misma seguridad que la informacin fechada a efectos de disponibilidad, integridad y
confidencialidad.
3. Se renovarn regularmente los sellos de tiempo hasta que la informacin protegida ya
no sea requerida por el proceso administrativo al que da soporte.
4. Se utilizarn productos certificados (segn [op.pl.5]) o servicios externos admitidos
(vase [op.exp.10]).
5. Se emplearn "sellos cualificados de tiempo electrnicos" acordes con la normativa
europea en la materia.
5.7.6 Limpieza de documentos [mp.info.6].
dimensiones C
nivel
bajo medio alto
aplica
=
=
El correo electrnico se proteger frente a las amenazas que le son propias, actuando
del siguiente modo:
a) La informacin distribuida por medio de correo electrnico, se proteger, tanto en el
cuerpo de los mensajes, como en los anexos.
b) Se proteger la informacin de encaminamiento de mensajes y establecimiento de
conexiones.
c) Se proteger a la organizacin frente a problemas que se materializan por medio del
correo electrnico, en concreto:
1. Correo no solicitado, en su expresin inglesa spam.
2. Programas dainos, constituidos por virus, gusanos, troyanos, espas, u otros de
naturaleza anloga.
3. Cdigo mvil de tipo applet.
d) Se establecern normas de uso del correo electrnico por parte del personal
determinado. Estas normas de uso contendrn:
1. Limitaciones al uso como soporte de comunicaciones privadas.
2. Actividades de concienciacin y formacin relativas al uso del correo electrnico.
5.8.2 Proteccin de servicios y aplicaciones web [mp.s.2].
dimensiones Todas
nivel
bsica media alta
aplica
=
+
Pgina 44
Nivel MEDIO
Se establecern medidas preventivas y reactivas frente a ataques de denegacin de
servicio (DOS Denial of Service). Para ello:
a) Se planificar y dotar al sistema de capacidad suficiente para atender a la carga
prevista con holgura.
b) Se desplegarn tecnologas para prevenir los ataques conocidos.
Nivel ALTO
a) Se establecer un sistema de deteccin de ataques de denegacin de servicio.
b) Se establecern procedimientos de reaccin a los ataques, incluyendo la
comunicacin con el proveedor de comunicaciones.
c) Se impedir el lanzamiento de ataques desde las propias instalaciones perjudicando a
terceros.
5.8.4 Medios alternativos [mp.s.9].
dimensiones D
nivel
bajo
medio
alto
no aplica no aplica aplica
Nivel ALTO
Se garantizar la existencia y disponibilidad de medios alternativos para prestar los
servicios en el caso de que fallen los medios habituales. Estos medios alternativos estarn
sujetos a las mismas garantas de proteccin que los medios habituales.
Pgina 45
Pgina 47
Pgina 48
Pgina 49