Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Boe A 2010 1330 PDF
Boe A 2010 1330 PDF
I. DISPOSICIONES GENERALES
MINISTERIO DE LA PRESIDENCIA
1330 Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional
de Seguridad en el mbito de la Administracin Electrnica.
II
cve: BOE-A-2010-1330
III
Este real decreto se limita a establecer los principios bsicos y requisitos mnimos que,
de acuerdo con el inters general, naturaleza y complejidad de la materia regulada,
permiten una proteccin adecuada de la informacin y los servicios, lo que exige incluir el
alcance y procedimiento para gestionar la seguridad electrnica de los sistemas que tratan
informacin de las Administraciones pblicas en el mbito de la Ley 11/2007, de 22 de
junio. Con ello, se logra un comn denominador normativo, cuya regulacin no agota todas
las posibilidades de normacin, y permite ser completada, mediante la regulacin de los
objetivos, materialmente no bsicos, que podrn ser decididos por polticas legislativas
territoriales.
Para dar cumplimiento a lo anterior se determinan las dimensiones de seguridad y sus
niveles, la categora de los sistemas, las medidas de seguridad adecuadas y la auditora
peridica de la seguridad; se implanta la elaboracin de un informe para conocer
cve: BOE-A-2010-1330
DISPONGO:
CAPTULO I
Disposiciones generales
Artculo 1. Objeto.
1. El presente real decreto tiene por objeto regular el Esquema Nacional de Seguridad
establecido en el artculo 42 de la Ley 11/2007, de 22 de junio, y determinar la poltica de
seguridad que se ha de aplicar en la utilizacin de los medios electrnicos a los que se
refiere la citada ley.
2. El Esquema Nacional de Seguridad est constituido por los principios bsicos y
requisitos mnimos requeridos para una proteccin adecuada de la informacin. Ser
aplicado por las Administraciones pblicas para asegurar el acceso, integridad,
disponibilidad, autenticidad, confidencialidad, trazabilidad y conservacin de los datos,
informaciones y servicios utilizados en medios electrnicos que gestionen en el ejercicio
de sus competencias.
A los efectos previstos en este real decreto, las definiciones, palabras, expresiones y
trminos han de ser entendidos en el sentido indicado en el Glosario de Trminos incluido
en el anexo IV.
cve: BOE-A-2010-1330
Estn excluidos del mbito de aplicacin indicado en el prrafo anterior los sistemas
que tratan informacin clasificada regulada por Ley 9/1968, de 5 de abril, de Secretos
Oficiales y normas de desarrollo.
CAPTULO II
Principios bsicos
a) Seguridad integral.
b) Gestin de riesgos.
c) Prevencin, reaccin y recuperacin.
d) Lneas de defensa.
e) Reevaluacin peridica.
f) Funcin diferenciada.
De igual modo, el sistema mantendr disponibles los servicios durante todo el ciclo
vital de la informacin digital, a travs de una concepcin y procedimientos que sean la
base para la preservacin del patrimonio digital.
a) Ganar tiempo para una reaccin adecuada frente a los incidentes que no han
podido evitarse.
b) Reducir la probabilidad de que el sistema sea comprometido en su conjunto.
c) Minimizar el impacto final sobre el mismo.
CAPTULO III
Requisitos mnimos
g) Adquisicin de productos.
h) Seguridad por defecto.
i) Integridad y actualizacin del sistema.
j) Proteccin de la informacin almacenada y en trnsito.
k) Prevencin ante otros sistemas de informacin interconectados.
BOLETN OFICIAL DEL ESTADO
Nm. 25 Viernes 29 de enero de 2010 Sec. I. Pg. 8094
l) Registro de actividad.
m) Incidentes de seguridad.
n) Continuidad de la actividad.
o) Mejora continua del proceso de seguridad.
1. Todo el personal relacionado con la informacin y los sistemas deber ser formado
e informado de sus deberes y obligaciones en materia de seguridad. Sus actuaciones
deben ser supervisadas para verificar que se siguen los procedimientos establecidos.
2. El personal relacionado con la informacin y los sistemas, ejercitar y aplicar los
principios de seguridad en el desempeo de su cometido.
3. El significado y alcance del uso seguro del sistema se concretar y plasmar en
unas normas de seguridad.
4. Para corregir, o exigir responsabilidades en su caso, cada usuario que acceda a la
informacin del sistema debe estar identificado de forma nica, de modo que se sepa, en
todo momento, quin recibe derechos de acceso, de qu tipo son stos, y quin ha
realizado determinada actividad.
Con la finalidad exclusiva de lograr el cumplimiento del objeto del presente real decreto,
con plenas garantas del derecho al honor, a la intimidad personal y familiar y a la propia
imagen de los afectados, y de acuerdo con la normativa sobre proteccin de datos
personales, de funcin pblica o laboral, y dems disposiciones que resulten de aplicacin,
se registrarn las actividades de los usuarios, reteniendo la informacin necesaria para
monitorizar, analizar, investigar y documentar actividades indebidas o no autorizadas,
permitiendo identificar en cada momento a la persona que acta.
CAPTULO IV
Comunicaciones electrnicas
CAPTULO V
Auditora de la seguridad
1. Los sistemas de informacin a los que se refiere el presente real decreto sern
objeto de una auditora regular ordinaria, al menos cada dos aos, que verifique el
cumplimiento de los requerimientos del presente Esquema Nacional de Seguridad.
Con carcter extraordinario, deber realizarse dicha auditora siempre que se
produzcan modificaciones sustanciales en el sistema de informacin, que puedan repercutir
en las medidas de seguridad requeridas. La realizacin de la auditoria extraordinaria
determinar la fecha de cmputo para el clculo de los dos aos, establecidos para la
realizacin de la siguiente auditora regular ordinaria, indicados en el prrafo anterior.
2. Esta auditora se realizar en funcin de la categora del sistema, determinada
segn lo dispuesto en el anexo I y de acuerdo con lo previsto en el anexo III.
3. En el marco de lo dispuesto en el artculo 39, de la ley 11/2007, de 22 de junio, la
auditora profundizar en los detalles del sistema hasta el nivel que considere que proporciona
evidencia suficiente y relevante, dentro del alcance establecido para la auditora.
4. En la realizacin de esta auditora se utilizarn los criterios, mtodos de trabajo y
de conducta generalmente reconocidos, as como la normalizacin nacional e internacional
aplicables a este tipo de auditoras de sistemas de informacin.
5. El informe de auditora deber dictaminar sobre el grado de cumplimiento del
presente real decreto, identificar sus deficiencias y sugerir las posibles medidas correctoras
o complementarias necesarias, as como las recomendaciones que se consideren
oportunas. Deber, igualmente, incluir los criterios metodolgicos de auditora utilizados,
el alcance y el objetivo de la auditora, y los datos, hechos y observaciones en que se
cve: BOE-A-2010-1330
CAPITULO VI
CAPTULO VII
CAPTULO VIII
Normas de conformidad
CAPTULO IX
Actualizacin
CAPTULO X
1. La facultad para efectuar las valoraciones a las que se refiere el artculo 43, as
como la modificacin posterior, en su caso, corresponder, dentro del mbito de su
actividad, al responsable de cada informacin o servicio.
2. La facultad para determinar la categora del sistema corresponder al responsable
del mismo.
una de las entidades presentes en dicho Comit Sectorial. Tendr funciones de cooperacin
en materias comunes relacionadas con la adecuacin e implantacin de lo previsto en el
Esquema Nacional de Seguridad y en las normas, instrucciones, guas y recomendaciones
dictadas para su aplicacin.
BOLETN OFICIAL DEL ESTADO
Nm. 25 Viernes 29 de enero de 2010 Sec. I. Pg. 8102
1. Los sistemas existentes a la entrada en vigor del presente real decreto se adecuarn
al Esquema Nacional de Seguridad de forma que permitan el cumplimiento de lo establecido
en la disposicin final tercera de la Ley 11/2007, de 22 de junio. Los nuevos sistemas
aplicarn lo establecido en el presente real decreto desde su concepcin.
2. Si a los doce meses de la entrada en vigor del Esquema Nacional de Seguridad
hubiera circunstancias que impidan la plena aplicacin de lo exigido en el mismo, se
dispondr de un plan de adecuacin que marque los plazos de ejecucin los cuales, en
ningn caso, sern superiores a 48 meses desde la entrada en vigor.
El plan indicado en el prrafo anterior ser elaborado con la antelacin suficiente y
aprobado por los rganos superiores competentes.
3. Mientras no se haya aprobado una poltica de seguridad por el rgano superior
competente sern de aplicacin las polticas de seguridad que puedan existir a nivel de
rgano directivo.
JUAN CARLOS R.
cve: BOE-A-2010-1330
ANEXOS
ANEXO I
2. Dimensiones de la seguridad.
a) Disponibilidad [D].
b) Autenticidad [A].
c) Integridad [I].
d) Confidencialidad [C].
e) Trazabilidad [T].
fcilmente reparable.
5. Otros de naturaleza anloga.
BOLETN OFICIAL DEL ESTADO
Nm. 25 Viernes 29 de enero de 2010 Sec. I. Pg. 8104
ANEXO II
Medidas de seguridad
1. Disposiciones generales
Dimensiones
MEDIDAS DE SEGURIDAD
Afectadas B M A
org Marco organizativo
categora aplica = = org.1 Poltica de seguridad
categora aplica = = org.2 Normativa de seguridad
cve: BOE-A-2010-1330
op Marco operacional
op.pl Planificacin
categora n.a. + ++ op.pl.1 Anlisis de riesgos
categora aplica = = op.pl.2 Arquitectura de seguridad
BOLETN OFICIAL DEL ESTADO
Nm. 25 Viernes 29 de enero de 2010 Sec. I. Pg. 8106
mp Medidas de proteccin
mp.if Proteccin de las instalaciones e infraestructuras
categora aplica = = mp.if.1 reas separadas y con control de acceso
categora aplica = = mp.if.2 Identificacin de las personas
categora aplica = = mp.if.3 Acondicionamiento de los locales
D aplica + = mp.if.4 Energa elctrica
D aplica = = mp.if.5 Proteccin frente a incendios
D n.a. aplica = mp.if.6 Proteccin frente a inundaciones
categora aplica = = mp.if.7 Registro de entrada y salida de equipamiento
D n.a. n.a. aplica mp.if.9 Instalaciones alternativas
mp.per Gestin del personal
categora n.a. aplica = mp.per.1 Caracterizacin del puesto de trabajo
categora aplica = = mp.per.2 Deberes y obligaciones
cve: BOE-A-2010-1330
dimensiones Todas
categora bsica media alta
aplica = =
BOLETN OFICIAL DEL ESTADO
Nm. 25 Viernes 29 de enero de 2010 Sec. I. Pg. 8108
dimensiones Todas
categora bsica media alta
aplica = =
dimensiones Todas
categora bsica media alta
aplica = =
dimensiones Todas
categora bsica media alta
aplica = =
cve: BOE-A-2010-1330
Se establecer un proceso formal de autorizaciones que cubra todos los elementos del
sistema de informacin:
El marco operacional est constituido por las medidas a tomar para proteger la
operacin del sistema como conjunto integral de componentes para un fin.
4.1 Planificacin [op.pl].
4.1.1 Anlisis de riesgos [op.pl.1].
dimensiones Todas
categora bsica media alta
aplica + ++
Categora BSICA
Bastar un anlisis informal, realizado en lenguaje natural. Es decir, una exposicin
textual que describa los siguientes aspectos:
Categora MEDIA
Categora ALTA
Se deber realizar un anlisis formal, usando un lenguaje especfico, con un fundamento
matemtico reconocido internacionalmente. El anlisis deber cubrir los siguientes
aspectos:
a) Identifique y valore cualitativamente los activos ms valiosos del sistema.
b) Identifique y cuantifique las amenazas posibles.
c) Identifique las vulnerabilidades habilitantes de dichas amenazas.
d) Identifique y valore las salvaguardas adecuadas.
e) Identifique y valore el riesgo residual.
4.1.2 Arquitectura de seguridad [op.pl.2].
cve: BOE-A-2010-1330
dimensiones todas
categora bsica media alta
aplica = =
BOLETN OFICIAL DEL ESTADO
Nm. 25 Viernes 29 de enero de 2010 Sec. I. Pg. 8110
1. reas.
2. Puntos de acceso.
1. Equipos.
2. Redes internas y conexiones al exterior.
3. Puntos de acceso al sistema (puestos de trabajo y consolas de administracin).
dimensiones todas
categora bsica media alta
aplica = =
dimensiones D
cve: BOE-A-2010-1330
a) Necesidades de procesamiento.
b) Necesidades de almacenamiento de informacin: durante su procesamiento y
durante el periodo que deba retenerse.
d) Necesidades de comunicacin.
e) Necesidades de personal: cantidad y cualificacin profesional.
f) Necesidades de instalaciones y medios auxiliares.
4.1.5 Componentes certificados [op.pl.5].
dimensiones todas
categora bsica media alta
no aplica no aplica aplica
dimensiones AT
nivel bajo medio alto
aplica = =
BOLETN OFICIAL DEL ESTADO
Nm. 25 Viernes 29 de enero de 2010 Sec. I. Pg. 8112
dimensiones I CAT
nivel bajo medio alto
aplica = =
a) Los recursos del sistema se protegern con algn mecanismo que impida su
utilizacin, salvo a las entidades que disfruten de derechos de acceso suficientes.
b) Los derechos de acceso de cada recurso, se establecern segn las decisiones
de la persona responsable del recurso, atenindose a la poltica y normativa de seguridad
del sistema.
c) Particularmente se controlar el acceso a los componentes del sistema y a sus
ficheros o registros de configuracin.
dimensiones I CAT
nivel bajo medio alto
no aplica aplica =
a) Desarrollo de operacin.
b) Configuracin y mantenimiento del sistema de operacin.
c) Auditora o supervisin de cualquier otra funcin.
dimensiones I CAT
nivel bajo medio alto
aplica = =
BOLETN OFICIAL DEL ESTADO
Nm. 25 Viernes 29 de enero de 2010 Sec. I. Pg. 8113
dimensiones I CAT
nivel bajo medio alto
aplica + ++
Nivel BAJO
1. Los autenticadores se activarn una vez estn bajo el control efectivo del
usuario.
2. Los autenticadores estarn bajo el control exclusivo del usuario.
3. El usuario reconocer que los ha recibido y que conoce y acepta las obligaciones
que implica su tenencia, en particular el deber de custodia diligente, proteccin de su
confidencialidad e informacin inmediata en caso de prdida.
4. Los autenticadores se cambiarn con una periodicidad marcada por la poltica de
la organizacin, atendiendo a la categora del sistema al que se accede.
5. Los autenticadores se retirarn y sern deshabilitados cuando la entidad (persona,
equipo o proceso) que autentican termina su relacin con el sistema.
Nivel MEDIO
Nivel ALTO
Nivel
dimensiones I CAT
nivel bajo medio alto
aplica + ++
Se considera acceso local al realizado desde puestos de trabajo dentro de las propias
instalaciones de la organizacin. Estos accesos tendrn en cuenta el nivel de las
dimensiones de seguridad:
Nivel BAJO
a) Se prevendrn ataques que puedan revelar informacin del sistema sin llegar a
acceder al mismo. La informacin revelada a quien intenta acceder, debe ser la mnima
imprescindible (los dilogos de acceso proporcionarn solamente la informacin
indispensable).
b) El nmero de intentos permitidos ser limitado, bloqueando la oportunidad de
acceso una vez efectuados un cierto nmero de fallos consecutivos.
c) Se registrarn los accesos con xito, y los fallidos.
d) El sistema informar al usuario de sus obligaciones inmediatamente despus de
obtener el acceso.
Nivel MEDIO
Nivel ALTO
a) El acceso estar limitado por horario, fechas y lugar desde donde se accede.
b) Se definirn aquellos puntos en los que el sistema requerir una renovacin de la
autenticacin del usuario, mediante identificacin singular, no bastando con la sesin
establecida.
dimensiones I CAT
cve: BOE-A-2010-1330
Nivel MEDIO
dimensiones Todas
categora bsica media alta
aplica = =
dimensiones Todas
categora bsica media alta
aplica = =
dimensiones todas
categora bsica media alta
no aplica aplica =
BOLETN OFICIAL DEL ESTADO
Nm. 25 Viernes 29 de enero de 2010 Sec. I. Pg. 8116
dimensiones todas
categora bsica media alta
aplica = =
dimensiones todas
categora bsica media alta
no aplica aplica =
dimensiones todas
categora bsica media alta
aplica = =
BOLETN OFICIAL DEL ESTADO
Nm. 25 Viernes 29 de enero de 2010 Sec. I. Pg. 8117
Se considera cdigo daino: los virus, los gusanos, los troyanos, los programas espas,
conocidos en terminologa inglesa como spyware, y en general, todo lo conocido como
malware.
Se dispondr de mecanismos de prevencin y reaccin frente a cdigo daino con
mantenimiento de acuerdo a las recomendaciones del fabricante.
dimensiones todas
categora bsica media alta
no aplica aplica =
Se dispondr de un proceso integral para hacer frente a los incidentes que puedan
tener un impacto en la seguridad del sistema, incluyendo:
a) Procedimiento de reporte de incidentes reales o sospechosos, detallando el
escalado de la notificacin.
b) Procedimiento de toma de medidas urgentes, incluyendo la detencin de servicios,
el aislamiento del sistema afectado, la recogida de evidencias y proteccin de los registros,
segn convenga al caso.
c) Procedimiento de asignacin de recursos para investigar las causas, analizar las
consecuencias y resolver el incidente.
d) Procedimientos para informar a las partes interesadas, internas y externas.
e) Procedimientos para:
1. Prevenir que se repita el incidente.
2. Incluir en los procedimientos de usuario la identificacin y forma de tratar el
incidente.
3. Actualizar, extender, mejorar u optimizar los procedimientos de resolucin de
incidencias.
La gestin de incidentes que afecten a datos de carcter personal tendr en cuenta lo
dispuesto en el Real Decreto 1720 de 2007, en lo que corresponda.
4.3.8 Registro de la actividad de los usuarios [op.exp.8].
dimensiones T
nivel bajo medio alto
no aplica no aplica aplica
dimensiones todas
categora bsica media alta
no aplica aplica =
BOLETN OFICIAL DEL ESTADO
Nm. 25 Viernes 29 de enero de 2010 Sec. I. Pg. 8118
dimensiones T
nivel bajo medio alto
no aplica no aplica aplica
dimensiones todas
categora bsica media alta
aplica = +
Las claves criptogrficas se protegern durante todo su ciclo de vida: (1) generacin,
(2) transporte al punto de explotacin, (3) custodia durante la explotacin, (4) archivo
posterior a su retirada de explotacin activa y (5) destruccin final.
Categora BSICA
Categora MEDIA
dimensiones todas
categora bsica media alta
no aplica aplica =
dimensiones todas
categora bsica media alta
no aplica aplica =
dimensiones D
nivel bajo medio alto
no aplica no aplica aplica
dimensiones D
nivel bajo medio alto
no aplica aplica =
dimensiones D
nivel bajo medio alto
no aplica no aplica aplica
dimensiones D
nivel bajo medio alto
no aplica no aplica aplica
dimensiones todas
categora bsica media alta
no aplica no aplica aplica
dimensiones todas
categora bsica media alta
no aplica no aplica aplica
cve: BOE-A-2010-1330
dimensiones todas
categora bsica media alta
aplica = =
dimensiones todas
categora bsica media alta
aplica = =
a) Se identificar a todas las personas que accedan a los locales donde hay
equipamiento que forme parte del sistema de informacin.
b) Se registrarn las entradas y salidas de personas.
dimensiones todas
categora bsica media alta
aplica = =
dimensiones D
nivel bajo medio alto
aplica + =
cve: BOE-A-2010-1330
Nivel MEDIO
dimensiones D
nivel bajo medio alto
aplica = =
dimensiones D
nivel bajo medio alto
no aplica aplica =
dimensiones todas
categora bsica media alta
aplica = =
dimensiones D
nivel bajo medio alto
no aplica no aplica aplica
dimensiones todas
categora bsica media alta
no aplica aplica =
BOLETN OFICIAL DEL ESTADO
Nm. 25 Viernes 29 de enero de 2010 Sec. I. Pg. 8123
dimensiones todas
categora bsica media alta
aplica = =
dimensiones todas
categora bsica media alta
aplica = =
dimensiones todas
categora bsica media alta
aplica = =
BOLETN OFICIAL DEL ESTADO
Nm. 25 Viernes 29 de enero de 2010 Sec. I. Pg. 8124
dimensiones D
nivel bajo medio alto
no aplica no aplica aplica
dimensiones todas
categora bsica media alta
aplica + =
Categora MEDIA
Este material se guardar en lugar cerrado cuando no se est utilizando.
5.3.2 Bloqueo de puesto de trabajo [mp.eq.2].
dimensiones A
nivel bajo medio alto
no aplica aplica +
Categora ALTA
Pasado un cierto tiempo, superior al anterior, se cancelarn las sesiones abiertas
desde dicho puesto de trabajo.
5.3.3 Proteccin de porttiles [mp.eq.3].
cve: BOE-A-2010-1330
dimensiones todas
categora bsica media alta
aplica = +
BOLETN OFICIAL DEL ESTADO
Nm. 25 Viernes 29 de enero de 2010 Sec. I. Pg. 8125
Categora ALTA
dimensiones D
nivel bajo medio alto
No aplica aplica =
dimensiones todas
categora bsica media alta
aplica = +
Se dispondr un sistema cortafuegos que separe la red interna del exterior. Todo el
trfico deber atravesar dicho cortafuegos que slo dejara transitar los flujos previamente
autorizados.
Categora ALTA
cve: BOE-A-2010-1330
dimensiones C
nivel bajo medio alto
no aplica aplica +
Nivel MEDIO
Nivel ALTO
dimensiones IA
nivel bajo medio alto
aplica + +
Nivel BAJO
Nivel MEDIO
Nivel ALTO
dimensiones todas
cve: BOE-A-2010-1330
dimensiones D
nivel bajo medio alto
no aplica no aplica aplica
dimensiones C
nivel bajo medio alto
aplica = =
dimensiones IC
nivel bajo medio alto
no aplica aplica +
Nivel ALTO
dimensiones todas
categora bsica media alta
aplica = =
dimensiones todas
categora bsica media alta
aplica = =
dimensiones C
nivel bajo medio alto
no aplica aplica =
a) Los soportes que vayan a ser reutilizados para otra informacin o liberados a otra
organizacin sern objeto de un borrado seguro de su anterior contenido.
b) Se destruirn de forma segura los soportes, en los siguientes casos:
cve: BOE-A-2010-1330
dimensiones todas
categora bsica media alta
no aplica aplica =
c) Los siguientes elementos sern parte integral del diseo del sistema:
dimensiones todas
categora bsica media alta
aplica + ++
Categora BSICA
a) Se comprobar que:
Categora MEDIA
a) Anlisis de vulnerabilidades.
b) Pruebas de penetracin.
BOLETN OFICIAL DEL ESTADO
Nm. 25 Viernes 29 de enero de 2010 Sec. I. Pg. 8130
Categora ALTA
dimensiones todas
categora bsica media alta
aplica aplica aplica
dimensiones C
nivel bajo medio alto
aplica + =
Nivel MEDIO
a) Su control de acceso.
b) Su almacenamiento.
cve: BOE-A-2010-1330
c) La realizacin de copias.
d) El etiquetado de soportes.
e) Su transmisin telemtica.
f) Y cualquier otra actividad relacionada con dicha informacin.
BOLETN OFICIAL DEL ESTADO
Nm. 25 Viernes 29 de enero de 2010 Sec. I. Pg. 8131
dimensiones C
nivel bajo medio alto
no aplica no aplica aplica
dimensiones IA
nivel bajo medio alto
aplica + ++
Nivel BAJO
Nivel MEDIO
1. Los medios utilizados en la firma electrnica sern proporcionados a la calificacin
de la informacin tratada. En todo caso:
a) Se emplearn algoritmos acreditados por el Centro Criptolgico Nacional.
b) Se emplearn, preferentemente, certificados reconocidos.
c) Se emplearn, preferentemente, dispositivos seguros de firma.
2. Se garantizar la verificacin y validacin de la firma electrnica durante el tiempo
requerido por la actividad administrativa que aqulla soporte, sin perjuicio de que se pueda
ampliar este perodo de acuerdo con lo que establezca la poltica de firma electrnica y de
certificados que sea de aplicacin. Para tal fin:
cve: BOE-A-2010-1330
Nivel ALTO
dimensiones T
nivel bajo medio alto
no aplica no aplica aplica
1. Los sellos de tiempo se aplicarn a aquella informacin que sea susceptible de ser
utilizada como evidencia electrnica en el futuro.
2. Los datos pertinentes para la verificacin posterior de la fecha sern tratados con
la misma seguridad que la informacin fechada a efectos de disponibilidad, integridad y
confidencialidad.
3. Se renovarn regularmente los sellos de tiempo hasta que la informacin protegida
ya no sea requerida por el proceso administrativo al que da soporte.
4. Se utilizarn productos certificados (segn [op.pl.5]) o servicios externos admitidos.
Vase [op.exp.10].
dimensiones C
nivel bajo medio alto
aplica = =
dimensiones D
nivel bajo medio alto
no aplica aplica =
dimensiones todas
categora bsica media alta
aplica = =
El correo electrnico se proteger frente a las amenazas que le son propias, actuando
del siguiente modo:
d) Se establecern normas de uso del correo electrnico por parte del personal
determinado. Estas normas de uso contendrn:
dimensiones todas
categora bsica media alta
aplica = =
BOLETN OFICIAL DEL ESTADO
Nm. 25 Viernes 29 de enero de 2010 Sec. I. Pg. 8134
1. Se evitar que el servidor ofrezca acceso a los documentos por vas alternativas
al protocolo determinado.
2. Se prevendrn ataques de manipulacin de URL.
3. Se prevendrn ataques de manipulacin de fragmentos de informacin que se
almacena en el disco duro del visitante de una pgina web a travs de su navegador, a
peticin del servidor de la pgina, conocido en terminologa inglesa como cookies.
4. Se prevendrn ataques de inyeccin de cdigo.
dimensiones D
nivel bajo medio alto
No aplica aplica +
Nivel MEDIO
Nivel ALTO
dimensiones D
nivel bajo medio alto
no aplica no aplica aplica
cve: BOE-A-2010-1330
7. Interpretacin
ANEXO III
Auditora de la seguridad
1. Objeto de la auditora
2. Niveles de auditora
Los niveles de auditora que se realizan a los sistemas de informacin, sern los
siguientes:
3. Interpretacin
ANEXO IV
Glosario
Acrnimos
ANEXO V
cve: BOE-A-2010-1330