Agencia Estatal Boletín Oficial del Estado

Ministerio de la Presidencia Agencia Estatal Boletín Oficial del Estado

Está Vd. en

Documento BOE-A-2011-18439

Resolucin de 15 de noviembre de 2011, de la Secretara de Estado de Seguridad, por la que se establecen los contenidos mnimos de los planes de seguridad del operador y planes de proteccin especficos conforme a lo dispuesto en el Real Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento de proteccin de infraestructuras crticas.

TEXTO

El Real Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento de Proteccin de Infraestructuras Crticas, como desarrollo de la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la proteccin de las infraestructuras crticas dispone, en los artculos 22.4 y 25.5, que la Secretaria de Estado de Seguridad establecer, respectivamente, los contenidos mnimos de los Planes de Seguridad del Operador y de los Planes de Proteccin Especficos, comprendidos en el artculo 14 de la Ley.

En su virtud, resuelvo ordenar la publicacin en el Boletn Oficial del Estado de los contenidos mnimos para la elaboracin de los citados Planes, que se insertan como anexos, dando cumplimiento a lo establecido en el artculo 7, apartado e), del Real Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento de Proteccin de Infraestructuras Crticas.

Madrid, 15 de noviembre de 2011.–El Secretario de Estado de Seguridad, Justo Toms Zambrana Pineda.

ANEXO I
Gua Contenidos Mnimos

Plan de Seguridad del Operador (PSO)

ndice

1. Introduccin.

1.1 Base Legal.

1.2 Objetivo de este Documento.

1.3 Finalidad y Contenido del PSO.

1.4 Mtodo de Revisin y Actualizacin.

1.5 Proteccin y Gestin de la Informacin y Documentacin.

2. Poltica general de seguridad del operador y marco de gobierno.

2.1 Poltica General de Seguridad del Operador.

2.2 Marco de Gobierno de Seguridad.

2.2.1 Organizacin de la Seguridad.

2.2.1.1 El Responsable de Seguridad y Enlace.

2.2.1.2 El Delegado de Seguridad de la Infraestructura Crtica.

2.2.2 Formacin y Concienciacin.

2.2.3 Modelo de Gestin Aplicado.

3. Relacin de Servicios Esenciales Prestados por el Operador Crtico.

3.1 Identificacin de los Servicios Esenciales.

3.2 Mantenimiento del Inventario de Servicios Esenciales.

3.3 Estudio de las Consecuencias de la Interrupcin del Servicio Esencial.

3.4 Interdependencias.

4. Metodologa de Anlisis de Riesgos.

4.1 Descripcin de la Metodologa de Anlisis.

4.2 Tipologas de Activos que Soportan los Servicios Esenciales.

4.3 Identificacin y Evaluacin de Amenazas.

4.4 Valoracin y Gestin de Riesgos.

5. Criterios de Aplicacin de Medidas de Seguridad Integral.

6. Documentacin Complementaria.

6.1 Normativa, Buenas Prcticas y Regulatoria.

6.2 Coordinacin con Otros Planes.

1. Introduccin

1.1 Base Legal.

El normal funcionamiento de los servicios esenciales que se prestan a la ciudadana descansa sobre una serie de infraestructuras de gestin tanto pblica como privada, cuyo funcionamiento es indispensable y no permite soluciones alternativas: las denominadas infraestructuras crticas. Por ello, se hace necesario el diseo de una poltica de seguridad homognea e integral en el seno de las organizaciones que est especficamente dirigida al mbito de las infraestructuras crticas, en la cual se definan los subsistemas de seguridad que se van a implantar para la proteccin de las mismas con el objetivo de impedir su destruccin, interrupcin o perturbacin, con el consiguiente perjuicio de la prestacin de los servicios esenciales a la poblacin.

Este es precisamente el espritu de la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la proteccin de las infraestructuras crticas, que tiene como objeto el establecer las estrategias y las estructuras organizativas adecuadas que permitan dirigir y coordinar las actuaciones de los distintos rganos de las administraciones pblicas en materia de proteccin de infraestructuras crticas, previa identificacin y designacin de las mismas, impulsando la colaboracin e implicacin de los organismos y empresas gestoras y propietarias (operadores crticos) de dichas infraestructuras, a fin de optimizar el grado de proteccin de stas contra ataques deliberados tanto fsicos como lgicos, que puedan afectar a la prestacin de los servicios esenciales.

Dicha Ley tiene su desarrollo a travs del Real Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento de proteccin de las infraestructuras crticas.

El artculo 13 de la Ley explicita una serie de compromisos para los operadores crticos pblicos y privados, entre los que se encuentra la necesidad de elaboracin de un Plan de Seguridad del Operador (en adelante PSO) y de los Planes de Proteccin Especficos que se determinen (en adelante PPE).

Por su parte, el artculo 22.4 del Real Decreto 704/2011 responsabiliza a la Secretara de Estado de Seguridad, a travs del CNPIC, del establecimiento y puesta a disposicin de los operadores de los contenidos mnimos con los que deben contar los PSO, as como el modelo en el que basar la elaboracin de los mismos.

1.2 Objetivo de este Documento.

Con el presente documento se pretende dar cumplimiento a las instrucciones emanadas del Real Decreto 704/2011, estableciendo los contenidos mnimos sobre los que se debe de apoyar el operador a la hora del diseo y elaboracin de su PSO. A su vez, se establecen algunos puntos explicativos sobre aspectos recogidos en la normativa de referencia.

Igualmente, se pretende orientar a aquellos operadores que hayan sido o vayan a ser designados como crticos en el diseo y elaboracin de su respectivo Plan, con el fin de que stos puedan definir el contenido de su poltica general y el marco organizativo de seguridad, que encontrar su desarrollo especfico en los PPE de cada una de sus infraestructuras crticas.

1.3 Finalidad y Contenido del PSO.

El PSO definir la poltica general del operador para garantizar la seguridad integral del conjunto de instalaciones o sistemas de su propiedad o gestin.

El PSO, como instrumento de planificacin del Sistema de Proteccin de Infraestructuras Crticas, contendr, adems de un ndice referenciado sobre los contenidos del Plan, al menos la siguiente informacin:

• Poltica general de seguridad del operador y marco de gobierno.

• Relacin de Servicios Esenciales prestados por el Operador Crtico.

• Metodologa de anlisis de riesgo (amenazas fsicas y lgicas).

• Criterios de aplicacin de Medidas de Seguridad Integral.

1.4 Mtodo de Revisin y Actualizacin.

Conforme al artculo 24 del Real Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento de proteccin de las infraestructuras crticas, entre las obligaciones del operador, adems de la elaboracin y presentacin del PSO al Centro Nacional de Proteccin de Infraestructuras Crticas (en adelante CNPIC), se incluye su revisin y actualizacin peridica:

• Revisin: Bienal.

• Actualizacin: Cuando se produzca algn tipo de modificacin en los datos incluidos en el PSO. En este caso, el PSO quedar actualizado cuando dichas modificaciones hayan sido validadas por el CNPIC, o en las condiciones establecidas en su normativa sectorial especfica.

1.5 Proteccin y Gestin de la Informacin y Documentacin.

La informacin es un valor estratgico para cualquier organizacin, por lo que en este sentido, el operador debe definir sus procedimientos de gestin y tratamiento de la informacin, as como los estndares de seguridad precisos para prestar una adecuada y eficaz proteccin de la informacin, independientemente del formato en el que sta se encuentre.

Adems, los operadores designados como crticos, debern tratar los documentos que se deriven de la aplicacin de la Ley 8/2011 y su desarrollo normativo a travs del Real Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento de proteccin de las infraestructuras crticas, segn el grado de clasificacin que se derive de las citadas normas.

En virtud de la disposicin adicional segunda de la Ley 8/2011, la clasificacin del PSO constar de forma expresa en el instrumento de su aprobacin. Una vez aprobado, el PSO tendr la clasificacin de Confidencial, sindole de aplicacin desde ese momento los requisitos y medidas e seguridad previstos en su normativa regulatoria especfica.

2. Poltica general de seguridad del operador y marco de gobierno

2.1 Poltica General de Seguridad del Operador.

El objetivo de una Poltica de Seguridad es dirigir y dar soporte a la gestin de la seguridad. En ella, la Direccin de la Organizacin debe establecer claramente cules son sus lneas de actuacin y manifestar su apoyo y compromiso con la seguridad.

Por tanto, en este apartado, el operador deber reflejar el contenido de su Poltica de Seguridad de una forma homognea e integral que est especficamente dirigida al mbito de las infraestructuras crticas, y que sirva de marco de referencia para la proteccin de las mismas, con el objetivo de impedir su perturbacin o destruccin.

Los aspectos mnimos que debe recoger la Poltica de Seguridad son:

• Objeto: La meta que pretende conseguir la Organizacin con la Poltica y su posterior desarrollo y aplicacin.

• mbito o Alcance de Aplicacin: Una poltica puede estar limitada a determinados campos o aspectos o, por el contrario, ser de aplicacin a toda una Organizacin. El Operador deber reflejar a qu partes de su Organizacin es aplicable la Poltica de Seguridad, sin perder de vista que la misma ha de tener un carcter integral, considerando tanto la seguridad fsica como la lgica.

• Compromiso de la Alta Direccin: El Operador debe garantizar que a la seguridad debe drsele la misma importancia que a otros factores de la produccin o negocio de la organizacin. Por ello, el compromiso de la Organizacin con la Poltica de Seguridad y lo que de ella se desarrolle deber quedar plasmado mediante la aprobacin, sancin y apoyo de la misma por el rgano (Consejo de Administracin, Consejo de Direccin, etc.) o la persona (Presidente, Consejero Delegado, etc.) de gobierno o direccin de la misma, as como su firme y explcito compromiso con la proteccin de los servicios esenciales prestados.

• Carcter Integral de la Seguridad: La seguridad fsica y lgica son reas que deben ser abordadas de forma interrelacionada y con una perspectiva holstica de la seguridad. Esto redundar en una visin global de la seguridad, posibilitando el diseo de una estrategia corporativa nica, optimizando el conocimiento, los recursos, y los equipos. Por ello, el Operador deber remarcar el carcter integral de la seguridad aplicada a sus infraestructuras crticas. En este sentido, una respuesta integral a las diferentes amenazas existentes requiere la aplicacin coordinada de medidas de seguridad tanto fsicas como lgicas.

• Relacin del PSO con otras normativas o reglamentaciones aplicables: Esta referencia podr ser incorporada en el punto 6 de esta gua.

• Actualizacin de la Poltica: Al ser la poltica un documento de alto nivel, no suele requerir cambios significativos a lo largo del tiempo. No obstante, el Operador deber asegurarse de que sta se mantenga actualizada y refleje aquellos cambios requeridos por variaciones en los activos a proteger, del entorno que les pueda afectar (amenazas, vulnerabilidades, impactos, salvaguardas), o en la reglamentacin aplicable. En este apartado, el Operador deber recoger el proceso a seguir para la actualizacin y mantenimiento de la Poltica, incluyendo el responsable de llevar a cabo estas acciones.

2.2 Marco de Gobierno de Seguridad.

2.2.1 Organizacin de la Seguridad.

El Operador Crtico debe designar a un responsable de seguridad y enlace y a unos delegados de seguridad de acuerdo a los requisitos establecidos en la Ley 8/2011. Deber, por tanto, asegurarse de que stos estn en un nivel jerrquico suficiente en su estructura organizacional, de tal forma que los designados puedan garantizar el cumplimiento y la aplicacin de la Poltica y de los requisitos establecidos para la proteccin de las infraestructuras crticas bajo su responsabilidad.

En este apartado, el Operador Crtico deber describir su organigrama de seguridad (afectando a la Seguridad Fsica y la Seguridad Lgica), con indicacin de las figuras recogidas en la Ley, as como los niveles jerrquicos que les correspondan en su estructura organizativa. Adems, deber dejar constancia de que los designados tienen capacidad suficiente para llevar a cabo todas aquellas acciones que se deriven de la aplicacin de la Ley y el Real Decreto:

• Organigrama de Seguridad.

• Organigrama general en el que se seale dnde se integran las distintas funciones de seguridad en la organizacin.

Asimismo, el Operador Crtico deber sealar los Comits u rganos de decisin existentes en materia de seguridad fsica y lgica.

A su vez se deber de reflejar si la gestin y el mantenimiento de la seguridad integral en alguno de sus mbitos es propia o subcontratada. En este ltimo supuesto se deber de reflejar el tipo de servicios y compromisos acordados entre el operador y la empresa contratada.

2.2.1.1 El Responsable de Seguridad y Enlace.

Conforme al artculo 16.2 de la Ley, el Operador Crtico deber designar a una persona en la organizacin que deber estar habilitada por el Ministerio del Interior como Director de Seguridad, en virtud de lo dispuesto en el Real Decreto 2364/1994, de 9 de diciembre, en el que se aprueba el Reglamento de Seguridad Privada, o tener una habilitacin equivalente, segn su normativa sectorial especfica.

El operador crtico deber hacer constar en este apartado el nombre y datos de contacto (direccin, telfonos y email) de la persona que fue designado como Responsable de Seguridad y Enlace as como de su sustituto. Sus funciones en relacin con el artculo34.2 del Real Decreto 704/2011 son las siguientes:

• Representar al operador crtico ante la Secretaria de Estado de Seguridad:

– En materias relativas a la seguridad de sus infraestructuras.

– En lo relativo a los diferentes planes especificados en el Real Decreto.

• Canalizar las necesidades operativas e informativas que surjan.

2.2.1.2 El Delegado de Seguridad de la Infraestructura Crtica.

Conforme al artculo 17 de la Ley, el Operador Crtico con infraestructuras designadas como crticas o crticas europeas comunicar a las Delegaciones del Gobierno o, en su caso, al rgano competente de la Comunidad Autnoma con competencias estatutariamente reconocidas para la proteccin de personas y bienes y para el mantenimiento del orden pblico donde aquellas se ubiquen, la persona designada como Delegado de seguridad y su sustituto.

El operador crtico deber hacer constar en este apartado el nombre y datos de contacto (direccin, telfonos y email) de la persona que fue designado como Delegado de Seguridad as como de su sustituto, cumpliendo los plazos establecidos desde su designacin como operador crtico as como su participacin a las Autoridades correspondientes, segn lo establecido en el artculo 35.1 del Real Decreto 704/2011. Sus funciones en relacin con el artculo 35.2 del Real Decreto 704/2011, son las siguientes:

• Ser el enlace operativo y el canal de informacin con las autoridades competentes en materias relativas a la seguridad de sus infraestructuras.

• Canalizar las necesidades operativas e informativas que surjan.

2.2.2 Formacin y Concienciacin.

El Operador Crtico deber colaborar con los programas o ejercicios que puedan derivarse del Plan Estratgico Sectorial, as como en su momento de los Planes de Apoyo Operativo.

El Operador Crtico deber reflejar en este apartado el Plan de Formacin previsto para el personal relacionado con la proteccin de las infraestructuras crticas.

En el caso de que disponga de un Plan de Formacin General, especificar la parte relacionada con la proteccin de las infraestructuras crticas, y la incluir en este punto.

El personal implicado directamente en la proteccin de los servicios esenciales e Infraestructuras crticas deber ser formado para alcanzar las siguientes habilidades:

• Capacidad de comprensin de la seguridad integral (fsica y lgica).

• Capacidad de comprensin de la autoproteccin.

• Capacidad de comprensin de la seguridad del medio ambiente.

• Habilidades organizativas y de comunicacin.

El personal no directamente implicado deber ser concienciado mediante la aplicacin de las polticas de formacin y operacionales activas en la organizacin.

2.2.3 Modelo de Gestin Aplicado.

La seguridad integral depende de un proceso de gestin integral que debe aportar el control organizativo y tcnico necesario para determinar en todo momento el nivel de exposicin a las amenazas y el nivel de proteccin y respuesta que es capaz de proporcionar la organizacin para la proteccin y seguridad de sus servicios esenciales e Infraestructuras Crticas.

Por tanto, de acuerdo con esta poltica de seguridad, el Operador Crtico deber recoger dentro del PSO su modelo de gestin, que deber contemplar al menos, los siguientes aspectos:

• Una implementacin de controles de seguridad acorde con las prioridades y necesidades evaluadas.

• Una evaluacin y monitorizacin peridica de seguridad.

3. Relacin de Servicios Esenciales Prestados por el Operador Crtico

El PSO deber incluir, a modo de introduccin, la informacin de contexto suficiente para describir los siguientes aspectos:

• Presentacin general del Operador Crtico, y sector/subsector principal/es de su actividad.

• Estructura organizativa y societaria (en el caso de Grupos empresariales).

• Presencia geogrfica en los mbitos nacional e internacional, con un resumen de las Comunidades Autnomas y pases donde presten sus servicios.

• Principales lneas de actividad con la tipologa general de servicios / productos que ofrecen.

3.1 Identificacin de los Servicios Esenciales.

El PSO deber identificar aquellos servicios esenciales para la ciudadana, prestados por el operador a travs del conjunto de sus infraestructuras estratgicas ubicadas en el territorio nacional, en relacin al concepto de servicio esencial recogido en el artculo 2.a) de la Ley:

• Servicio necesario para el mantenimiento de las funciones sociales bsicas, la salud, la seguridad, el bienestar social y econmico de los ciudadanos.

• Eficaz funcionamiento de las Instituciones del Estado y las Administraciones Pblicas.

3.2 Mantenimiento del Inventario de Servicios Esenciales.

Peridicamente, el Operador Crtico deber revisar la relacin de servicios esenciales que figuran en su PSO, como consecuencia de la evolucin normal que cualquier empresa experimenta respecto a los servicios que ofrece.

As, en este mantenimiento deber incorporar aquellos cambio/s que se produzcan:

• Por causas endgenas (por ejemplo, ajuste de cartera de servicios, fusiones, adquisiciones o ventas de activos, etc.).

• Como consecuencia de la adecuacin a los perodos establecidos en el Plan conforme al punto 1.4 de esta gua.

3.3 Estudio de las Consecuencias de la Interrupcin del Servicio Esencial.

El Operador Crtico deber llevar a cabo un estudio de las consecuencias que supondra la interrupcin y no disponibilidad del servicio esencial que presta a la sociedad, motivado por alguna alteracin o interrupcin en el tiempo o una destruccin parcial o total de las infraestructuras que gestionan dicho servicio.

3.4 Interdependencias.

En relacin con el concepto de interdependencias recogido en el artculo 2.j) de la Ley, pueden existir efectos y repercusiones que afecten los servicios esenciales y las infraestructuras crticas propias y/o de otros operadores, tanto dentro del mismo sector como en mbitos diferentes. Estas interdependencias debern ser en todo caso consideradas en el anlisis de riesgos que realicen los operadores en el marco global de su organizacin, dentro del PSO.

El Operador Crtico deber hacer referencia dentro de su PSO a las interdependencias que, en su caso, identifique, explicando brevemente el motivo que las origina:

• Entre sus propias instalaciones o servicios.

• Con servicios esenciales prestados por otros Operadores Crticos del mismo sector.

• Con servicios esenciales prestados a otros Operadores Crticos de distinto sector.

• Con servicios esenciales prestados por operadores de otros pases.

• Con sus proveedores dentro de la cadena de suministros.

4. Metodologa de Anlisis de Riesgos

En virtud de lo establecido en el artculo 22.3 del Real Decreto 704/2011, en el PSO se deber establecer una metodologa de anlisis de riesgos que garantice la continuidad de los servicios proporcionados por dicho operador en la que se contemple, de una manera global, tanto las amenazas fsicas como lgicas existentes contra la totalidad de sus activos, con independencia de las medidas mnimas que se puedan establecer para los Planes de Proteccin Especficos conforme a lo establecido por el artculo 25.

4.1 Descripcin de la Metodologa de Anlisis.

Se describir de forma genrica la metodologa empleada por la Organizacin para la realizacin de los anlisis de riesgos de los PPE que se deriven tras la designacin de sus infraestructuras crticas. Al menos, se aportar la siguiente informacin:

• Etapas esenciales.

• Algoritmos de clculo empleados.

• Carcter cuantitativo o cualitativo.

• Mtodo empleado para la valoracin de los impactos.

• Mtricas de medicin de riesgos aceptables, residuales, etc.

• En particular, se harn constar las relaciones entre los anlisis de riesgos realizados a distintos niveles: A nivel de corporacin, a nivel de servicios y el ms concreto, a nivel de infraestructuras crticas.

4.2 Tipologas de Activos que Soportan los Servicios Esenciales.

Se denominan activos los recursos necesarios para que la Organizacin funcione correctamente y alcance los objetivos propuestos por su direccin.

Sobre la base de los servicios identificados en el apartado 3.1 anterior, se incluirn en este apartado, para cada servicio esencial, los tipos de activos que los soportan, diferenciando aquellos que son crticos de los que no lo son.

Algunas de las tipologas de activos a considerar son:

• Los servicios esenciales que prestan.

• Las instalaciones necesarias para la prestacin del servicio esencial.

• Los sistemas informticos (hardware y software).

• Las redes de comunicaciones que permiten intercambiar datos.

• Las personas que explotan u operan todos los elementos anteriormente citados.

No es objeto de esta seccin la identificacin exhaustiva de activos que soportan la actividad del operador, sino la identificacin genrica de tipologas de activos asociadas a los servicios esenciales prestados por dicho operador, y sobre los que se focalizar el anlisis de riesgos que efecte el operador. El nivel de granularidad ser aquel que permita una comprensin del funcionamiento de los servicios, as como las interrelaciones entre activos y servicios.

Los activos no sern necesariamente espacios fsicos concretos, pudiendo por ejemplo considerarse como activos sistemas distribuidos, tales como una red de datos.

4.3 Identificacin y Evaluacin de Amenazas.

En el marco de la normativa de proteccin de infraestructuras crticas, y de cara a garantizar la adecuada proteccin de aquellas infraestructuras que prestan servicios esenciales, el Operador Crtico deber considerar de forma especial aquellas amenazas de origen terrorista o intencionado. El Operador deber indicar expresamente las amenazas que ha considerado para la realizacin de los anlisis de riesgo, plasmando al menos:

• Las intencionadas, de tipo tanto fsico como lgico, que puedan afectar al conjunto de sus infraestructuras, las cuales debern identificarse de forma especfica en sus respectivos PPE.

• Las procedentes de interdependencias, que puedan afectar directamente a los servicios esenciales, sean estas deliberadas o no.

• Las dirigidas al entorno cercano o elementos interdependientes que puedan afectar a los servicios esenciales, tanto del ante-permetro fsico como lgico.

4.4 Valoracin y Gestin de Riesgos.

Los PSO recogern la estrategia de gestin de riesgos implementada por el Operador en cuanto a:

• Criterios utilizados para la valoracin de las diferentes categoras de clasificacin de los riesgos.

• Metodologa de seleccin de estrategia (reduccin, eliminacin, transferencia, etc.).

• Plazos para la implementacin de medidas en el caso de elegir una estrategia de minimizacin del riesgo con indicacin, si existe, de mecanismos de priorizacin de acciones.

• Tratamiento dado a las amenazas de ataques deliberados y, en particular, a aquellas que tengan una baja probabilidad pero un alto impacto debido a las consecuencias por su destruccin o interrupcin en la continuidad de los servicios esenciales.

• Mecanismos de seguimiento y actualizacin peridicos de niveles de riesgo.

5. Criterios de Aplicacin de Medidas de Seguridad Integral

Dentro del mbito de la seguridad integral, el Operador definir a grandes rasgos los criterios utilizados en su organizacin para la aplicacin y administracin de la seguridad. En este sentido incluir de forma genrica las medidas de seguridad implantadas en el conjunto de activos y recursos sobre los que se apoyan los servicios esenciales y que se recogern en sus respectivos PPE, al objeto de hacer frente a las amenazas fsicas y lgicas identificadas en los oportunos anlisis de riesgos efectuados sobre cada una de las tipologas de sus activos.

6. Documentacin Complementaria

6.1 Normativa, Buenas Prcticas y Regulatoria.

El Operador recoger en una breve referencia motivada toda la normativa de aplicacin y aquellas buenas prcticas que regulen el buen funcionamiento de los servicios esenciales prestados por todas y cada una de sus infraestructuras.

La normativa a incluir comprender tanto las de rango nacional, autonmico, europeo e internacional, como las sectoriales, relativas a:

• Seguridad Fsica.

• Seguridad Lgica.

• Seguridad de la Informacin en cualquiera de sus mbitos.

• Seguridad Personal.

• Seguridad Ambiental.

• Autoproteccin y Prevencin de Riesgos Laborales.

6.2 Coordinacin con Otros Planes.

Se identificarn todos aquellos Planes diseados por el operador relativos a otros aspectos (continuidad de negocio, gestin del riesgo, respuesta, autoproteccin, emergencias, etc.) que puedan coordinarse con el Plan de Seguridad del Operador y los respectivos Planes de Proteccin Especficos, y que sern activados en el caso de que las medidas preventivas fallen y se produzca el incidente.

ANEXO II
Gua Contenidos Mnimos

Plan de Proteccin Especfico (PPE)

ndice

1. Introduccin.

1.1 Base legal.

1.2 Objetivo de este documento.

1.3 Finalidad y contenido del PPE.

1.4 Mtodo de revisin y actualizacin.

1.5 Proteccin y gestin de la informacin y documentacin.

2. Aspectos organizativos.

2.1 Delegados de seguridad de las infraestructuras crticas.

2.2 Mecanismos de coordinacin.

2.3 Mecanismos y responsables de aprobacin.

3. Descripcin de la infraestructura crtica.

3.1 Datos generales de la infraestructura crtica.

3.2 Activos / elementos de la IC.

3.3 Interdependencias.

4. Resultados del anlisis de riesgos.

4.1 Amenazas consideradas.

4.2 Medidas existentes.

4.2.1 Organizativas o de gestin.

4.2.2 Operacionales o procedimentales.

4.2.3 De proteccin o tcnicas.

4.3 Valoracin de riesgos.

5. Plan de accin propuesto (por activo).

6. Documentacin complementaria.

1. Introduccin

1.1 Base legal.

Segn establece la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la proteccin de las infraestructuras crticas, el operador designado como crtico se integrar como agente del sistema de proteccin de infraestructuras crticas, debiendo cumplir con una serie de responsabilidades recogidas en su artculo 13. De acuerdo con en el punto 1, letra d, del citado artculo, el Operador deber elaborar un Plan de Proteccin Especfico (en adelante PPE) por cada una de las infraestructuras crticas de las que sea propietario o gestor.

El Real Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento de proteccin de las infraestructuras crticas, a travs del cual se da desarrollo reglamentario a la Ley 8/2011, establece, en su captulo IV del Ttulo III sobre los Instrumentos de Planificacin, aquellos aspectos relativos a la elaboracin, finalidad y contenido de dichos planes, formas de revisin y actualizacin, autoridades encargadas de su aplicacin y seguimiento y compatibilidad con otros planes ya existentes.

En este sentido, y conforme al artculo 25.5 de dicho Real Decreto, se asigna a la Secretara de Estado de Seguridad, a travs del CNPIC, la responsabilidad de establecer los contenidos mnimos de los PPE, as como el modelo en el que fundamentar su estructura y complecin, sobre la base de las directrices y criterios marcados por el Plan de Seguridad del Operador (PSO).

En el PPE, el Operador Crtico pblico o privado recoger de forma prctica los siguientes aspectos y criterios incluidos en su Plan de Seguridad del Operador, que afecten de manera especfica a esa instalacin:

• Aspectos relativos a su poltica general de seguridad.

• Desarrollo de la metodologa de anlisis de riesgos que garantice la continuidad de los servicios proporcionados por dicho operador a travs de esa infraestructura crtica (IC).

• Desarrollo de los criterios de aplicacin de las diferentes medidas de seguridad que se implanten para hacer frente a las amenazas, tanto fsicas como lgicas, identificadas en relacin con cada una de las tipologas de los activos existentes en esa infraestructura.

1.2 Objetivo de este Documento.

Con el presente documento se pretende dar cumplimiento a las instrucciones emanadas del Real Decreto 704/2011, estableciendo los contenidos mnimos sobre los que se debe de apoyar el operador a la hora de elaborar su respectivo PPE en las instalaciones catalogadas como crticas. A su vez, se establecen algunos puntos explicativos sobre aspectos recogidos en la Ley 8/2011 y el Real Decreto 704/2011.

1.3 Finalidad y Contenido del PPE.

Los PPE son los documentos operativos donde se definen las medidas concretas a poner en marcha por los operadores crticos para garantizar la seguridad integral (fsica y lgica) de sus infraestructuras crticas.

Adems de un ndice referenciado a los contenidos del Plan, los PPE debern contener, al menos, la siguiente informacin especfica sobre la infraestructura a proteger:

• Organizacin de la seguridad.

• Descripcin de la infraestructura.

• Resultado del anlisis de riesgos:

○ Medidas de seguridad (tanto las existentes como las que sea necesario implementar) permanentes, temporales y graduales para las diferentes tipologas de activos a proteger y segn los distintos niveles de amenaza declarados a nivel nacional.

• Plan de accin propuesto (por activo).

Los PPE debern estar alineados con las pautas establecidas en la Poltica General de Seguridad del Operador reflejada en el PSO. Asimismo, los anlisis de riesgos, vulnerabilidades y amenazas que se lleven a cabo, estarn sujetos a las pautas metodolgicas descritas en el PSO.

1.4 Mtodo de Revisin y Actualizacin.

Conforme al artculo 27 del Real Decreto por el que se aprueba el Reglamento de proteccin de las infraestructuras crticas, entre las obligaciones del operador, adems de la elaboracin y presentacin del PPE al Centro Nacional de Proteccin de Infraestructuras Crticas (en adelante CNPIC), se incluye su revisin y actualizacin peridica:

• Revisin: Bienal.

• Actualizacin: cuando se produzca una modificacin en los datos incluidos dentro del PPE. En este caso, el PPE quedar actualizado cuando dichas modificaciones hayan sido validadas por el CNPIC, o en las condiciones establecidas en su normativa sectorial especfica.

1.5 Proteccin y Gestin de la Informacin y Documentacin.

La informacin asociada con los PPE y aquella relativa a los anlisis de riesgos y las medidas de seguridad implantadas sobre las infraestructuras crticas a las que hacen referencia es de carcter sensible, por lo que, en este sentido, el operador deber definir sus procedimientos de tratamiento de dicha informacin, as como los estndares de seguridad precisos para prestar una adecuada y eficaz proteccin de la informacin utilizados, independientemente del formato en el que sta se encuentre.

Adems, los operadores designados como crticos, debern tratar los documentos que se deriven de la aplicacin de la Ley 8/2011 y su desarrollo normativo a travs del Real Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento de proteccin de las infraestructuras, segn el grado de clasificacin que se derive de las citadas normas.

En virtud de la disposicin adicional segunda de la Ley 8/2011, la clasificacin del PPE constar de forma expresa en el instrumento de su aprobacin. Una vez aprobado, el PPE tendr la clasificacin de Confidencial, sindole de aplicacin desde ese momento los requisitos y medidas e seguridad previstos en su normativa regulatoria especfica.

2. Aspectos Organizativos

2.1 Delegados de Seguridad de las Infraestructuras Crticas.

Conforme al artculo 17 de la Ley 8/2011, el Operador Crtico con infraestructuras designadas como crticas o criticas europeas comunicar a las Delegaciones del Gobierno o, en su caso al rgano competente de la Comunidad Autnoma con competencias estatutariamente reconocidas para la proteccin de personas y bienes y para el mantenimiento del orden pblico donde aquellas se ubiquen, la persona designada como Delegado de Seguridad y su sustituto para cada una de dichas infraestructuras.

El Operador Crtico deber hacer constar en este apartado el nombre y datos de contacto (direccin, telfonos y email) de la persona que fue designado como Delegado de Seguridad as como de su sustituto, cumpliendo los plazos establecidos desde su designacin, as como su participacin a las Autoridades correspondientes, segn lo establecido en el artculo 35.1 del Real Decreto 704/2011.

Sus funciones en relacin con el artculo 35.2 del Real Decreto 704/2011, son las siguientes:

• Ser el enlace operativo y el canal de informacin con las autoridades competentes en materia relativa a la seguridad de sus infraestructuras.

• Canalizar las necesidades operativas e informativas que surjan.

• Coordinarse adecuadamente con el Responsable de Seguridad y Enlace y, en su caso, con los otros Delegados de Seguridad del Operador Crtico.

El Operador Crtico deber reflejar en este apartado los cursos o formacin que el Delegado de Seguridad haya recibido, relacionados con las habilidades necesarias para el desempeo del puesto, de acuerdo con el Plan de Formacin previsto en el PSO.

2.2 Mecanismos de Coordinacin.

El Operador Crtico deber reflejar dentro de su PPE los mecanismos existentes de coordinacin:

• Entre el Delegado de Seguridad de la Infraestructura Crtica (IC) con otros Delegados de otras IC’s y con el Responsable de Seguridad y Enlace del propio Operador.

• Con Autoridades y terceros (Fuerzas y Cuerpos de Seguridad del Estado/ Cuerpos Policiales autonmicos y locales / CNPIC /otros).

• Con otros planes existentes del Operador (planes de continuidad de negocio, planes de evacuacin, etc.).

2.3 Mecanismos y Responsables de Aprobacin.

El Operador deber incluir dentro del PPE los siguientes aspectos relativos a su aprobacin interna:

• Responsables de su aprobacin.

• Procedimiento que se sigue para su aprobacin.

• Fecha en la que se produjo su ltima aprobacin.

3. Descripcin de la Infraestructura Crtica

3.1 Datos Generales de la Infraestructura Crtica.

El Operador Crtico deber incluir los siguientes datos e informacin sobre la infraestructura a proteger:

• Generales, relativos a la denominacin y tipo de instalacin, propiedad y gestin de la misma.

• Sobre localizacin fsica y estructura (localizacin, planos generales, fotografas, componentes, etc.).

• Sobre los sistemas TIC que gestionan la IC y su arquitectura (mapa de red, mapa de comunicaciones, mapa de sistemas, etc.).

• Datos estratgicos:

○ Descripcin del servicio esencial que proporciona y el mbito geogrfico o poblacional del mismo.

○ Relacin con otras posibles infraestructuras necesarias para la prestacin de ese servicio esencial.

○ Descripcin de sus funciones y de su relacin con los servicios esenciales soportados.

3.2 Activos / Elementos de la IC.

Se incluirn en este apartado los activos que soportan la infraestructura crtica, diferenciando aquellos que son vitales de los que no lo son. En concreto se detallarn:

• Las instalaciones o componentes de la IC que son necesarios y por lo tanto vitales para la prestacin del servicio esencial.

• Los sistemas informticos (hardware y software) utilizado.

• Las redes de comunicaciones que permiten intercambiar datos y que se utilicen para dicha IC.

• Las personas o grupos de personas que explotan u operan todos los elementos anteriormente citados.

• Los proveedores crticos que son necesarios para el funcionamiento de dicha IC.

Del mismo modo, se especificarn las dependencias existentes entre los diferentes activos que soportan o componen la IC. La informacin anterior deber ser la suficiente para recoger de manera explcita el alcance de la infraestructura a proteger y con el mismo nivel de granularidad que se haya establecido dentro del PSO.

3.3 Interdependencias.

En relacin con el concepto de interdependencias recogido en el artculo 2. j) de la Ley, pueden existir efectos y repercusiones que afecten los servicios esenciales y las infraestructuras crticas propias y/o de otros operadores, tanto dentro del mismo sector como en mbitos diferentes. Estas interdependencias debern ser en todo caso consideradas en el anlisis de riesgos que realicen los operadores para la IC de que se trate, en el marco del PPE.

El Operador Crtico deber hacer referencia dentro de sus diferentes PPE a las interdependencias que, en su caso, identifique, explicando brevemente el motivo que las origina:

• Con otras infraestructuras crticas del propio Operador.

• Con otras infraestructuras crticas de otros Operadores.

• Con otras infraestructuras estratgicas que soportan el servicio esencial.

4. Resultados del Anlisis de Riesgos

El Operador Crtico deber reflejar en su PPE los resultados del anlisis de riesgos realizado sobre la infraestructura crtica. Dicho anlisis de riesgos deber seguir las pautas metodolgicas recogidas en su PSO.

A continuacin se reflejan los contenidos mnimos relativos al anlisis de riesgos realizado que el operador deber incluir dentro del PPE.

4.1 Amenazas Consideradas.

En el marco de la normativa de proteccin de infraestructuras crticas, y de cara a garantizar la adecuada proteccin de las infraestructuras crticas, el Operador Crtico deber considerar de forma especial aquellas amenazas de origen terrorista o intencionado. El Operador deber indicar expresamente las amenazas que ha considerado para la realizacin de los anlisis de riesgos, plasmando al menos:

• Las amenazas intencionadas, tanto de tipo fsico como lgico, que afecten de forma especfica a alguno de los activos que soportan infraestructura crtica.

• Las amenazas que puedan afectar directamente a la infraestructura procedentes de las interdependencias identificadas, sean stas deliberadas o no.

• Las dirigidas al entorno cercano o elementos interdependientes tanto del ante-permetro fsico como lgico que puedan afectar a la infraestructura.

• Las amenazas que afecten a los sistemas de informacin que den soporte a la operacin de la infraestructura crtica y todos los que estn conectados a dichos sistemas sin contar con las adecuadas medidas de segmentacin.

4.2 Medidas de Seguridad.

El Operador deber describir las medidas de seguridad (medidas de proteccin de las instalaciones, equipos, datos, software de base y aplicativos, personal y documentacin) implantadas en la actualidad, con las que se ha contado para la realizacin del anlisis de riesgos. Deber distinguir entre las medidas de carcter permanente, y aquellas temporales y graduales.

Por medidas permanentes se entienden aquellas medidas concretas ya adoptadas por el Operador Crtico, as como aquellas que considere necesarias instalar en funcin del resultado del anlisis de riesgo realizado respecto de los riesgos, amenazas y consecuencias/impacto sobre sus activos, dirigidas todas ellas a garantizar la seguridad integral de su instalacin catalogada como crtica de manera continua.

Por medidas temporales y graduales se entienden aquellas medidas de seguridad de carcter extraordinario que reforzarn a las permanentes y que se debern implementar a raz de la activacin de alguno de los niveles de seguridad establecidos respectivamente en el Plan Nacional de Proteccin de las Infraestructuras Crticas (artculo 16.3 del RD 704/2011), o bien como consecuencia de las comunicaciones que las autoridades competentes puedan efectuar al Operador Crtico en relacin con una amenaza concreta y temporal sobre la instalacin por l gestionada.

Dichas medidas debern permanecer activas durante el tiempo que est establecido el nivel de alarma, modificndose gradualmente en funcin de dicho nivel.

Para su mejor comprensin, se recomienda una aproximacin por capas, especificando para cada nivel las medidas de prevencin y proteccin, el tiempo de respuesta y el tiempo de recuperacin.

En concreto, el Operador deber describir las medidas de que dispone relativas a:

4.2.1 Medidas Organizativas o de Gestin.

El Operador deber indicar si dispone de al menos de las siguientes medidas organizativas o de gestin, y el alcance de cada una de ellas:

• Anlisis de Riesgos: Evaluacin y valoracin de las amenazas, impactos y probabilidades para obtener un nivel de riesgo.

• Definicin de roles y responsabilidades: Asignacin de responsabilidades en materia de seguridad.

• Cuerpo normativo definido: Polticas, procedimientos y estndares de seguridad.

• Normas y/o regulaciones de aplicacin a la infraestructura crtica, as como identificacin de su nivel de cumplimiento.

• Certificacin, acreditacin y evaluacin de seguridad obtenidas para la infraestructura crtica.

4.2.2 Medidas Operacionales o Procedimentales.

El operador deber indicar si dispone de al menos las siguientes medidas operacionales o procedimentales, y el alcance de cada una de ellas.

• Procedimientos para la realizacin, gestin y mantenimiento de activos:

○ Procedimiento de inventariado (Identificacin/Catalogacin/etc.):

– Activos fsicos.

– Activos lgicos.

○ Procedimiento de gestin contina de activos fsicos y lgicos (Alta/Baja/Modificacin).

○ Etc.

• Procedimientos de formacin, concienciacin y capacitacin (tanto general como especfica) para:

○ Empleados/Operarios.

○ Personal de seguridad.

○ Etc.

• Procedimientos de Contingencia / Recuperacin, en funcin de los escenarios de contingencia que hayan sido definidos.

• Procedimientos operativos para la monitorizacin, supervisin y evaluacin/auditora de:

○ Activos Fsicos de la infraestructura (Alcance / Operacin / Seguimiento).

○ Activos Lgicos o de sistemas de operacin (Alcance / Operacin / Seguimiento).

• Procedimientos para la gestin de acceso:

○ Gestin de usuarios: Altas, bajas y modificaciones, procesos de seleccin, rgimen interno, procedimientos de cese.

○ Control de accesos temporales:

– De personas, vehculos, etc… al recinto general o a recintos restringidos.

– Identificadores de usuario temporal de los sistemas (mantenimiento…).

○ Control de entradas y salidas:

– Paquetera, correspondencia, etc…

– Soportes, equipos e informacin (medidas y tecnologas de prevencin de fuga de informacin).

• Procedimientos operacionales del personal de seguridad (funciones, horarios, dotaciones, etc.).

• Procedimientos de gestin y respuesta de incidentes.

4.2.3 Medidas De proteccin o Tcnicas.

• Medidas de Prevencin y Deteccin:

○ Medidas y elementos de seguridad fsica y electrnica para la proteccin del permetro y control de accesos:

– Vallas, zonas de seguridad, detectores de intrusos, cmaras de video vigilancia / CCTV, puertas y esclusas, cerraduras, lectores de matrculas, arcos de seguridad, tornos, scanners, tarjetas activas, lectores de tarjetas, etc.

○ Medidas y elementos de seguridad lgica:

– Firewalls, DMZ, IPSs, segmentacin y aislamiento de redes, cifrado, VPNs, elementos y medidas de control de acceso de usuarios (tokens, controles biomtricos, etc.), medidas de instalacin y configuracin segura de elementos tcnicos, correladores de eventos y logs, proteccin frente Malware, etc.

○ Otros.

• Coordinacin y Monitorizacin:

○ Centro de Control de Seguridad (control de alarmas, recepcin y visionado de imgenes, etc.).

○ Equipos de vigilancia (turnos, rondas, volumen, etc.).

○ Sistemas de comunicacin.

○ Otros.

4.3 Valoracin de Riesgos.

En este apartado se describirn las principales conclusiones obtenidas en el anlisis de riesgos. Para cada par activo / amenaza se deber especificar la valoracin efectuada, sobre la base de los criterios especificados en la metodologa de anlisis de riesgos detallada en el PSO. Dentro de este apartado deber incluirse, para cada par activo / amenaza, la siguiente informacin:

• Quin ha evaluado / aprobado el riesgo y la estrategia de tratamiento asociada.

• Criterios de valoracin de riesgos adoptados.

• Fecha del ltimo anlisis llevado a cabo.

• Resultado / conclusin sobre el nivel de riesgo soportado.

En particular, debern detallarse los riesgos asumidos con niveles de impacto elevado y baja probabilidad, que debern ser validados por el CNPIC.

5. Plan de Accin Propuesto (por Activo)

En caso de ser pertinente y preverse la disposicin de medidas complementarias a las existentes a implementar en los prximos tres aos, se deber describir, como parte integrante del PPE:

• La enumeracin de las medidas complementarias a disponer (fsicas o lgicas).

• Una explicacin de la operativa resultante para cada tipo de proteccin (fsico y lgico) y para cada uno de los horarios significativos, segn el orden del apartado 4.2.

El Operador deber especificar el conjunto detallado de medidas a aplicar para proteger el activo como consecuencia de los resultados obtenidos en el anlisis de riesgos. En concreto, deber incluir la siguiente informacin:

• Accin propuesta, con detalle de su mbito (alcance) de aplicacin.

• Activo de aplicacin.

• Responsables de su implantacin, plazos, mecanismos de coordinacin y seguimiento, etc.

• Carcter permanente, temporal o gradual de la medida.

6. Documentacin Complementaria

El Operador Crtico incorporar como anexo la planimetra general de la instalacin o sistema y de sus sistemas de informacin, as como aquellos otros planos que incorporen la ubicacin de las medidas de seguridad implementadas. A su vez, se podr adjuntar aquella otra informacin que se pueda generar de los diferentes apartados de este documento.

Se har una breve referencia a todos aquellos planes de diferente tipo (emergencia, autoproteccin, etc.), que afecten a la instalacin o sistema con el fin de establecer una adecuada coordinacin entre ellos, as como toda aquella normativa y buenas prcticas que regulen el buen funcionamiento del servicio esencial prestado por esa infraestructura y los motivos por los cuales le son de aplicacin.

La normativa a incluir comprender tanto las de rango nacional, autonmico, europeo e internacional, como las sectoriales, relativas a:

• Seguridad Fsica.

• Seguridad Lgica.

• Seguridad de la Informacin en cualquiera de sus mbitos.

• Seguridad Personal.

• Seguridad Ambiental.

• Autoproteccin y Prevencin de Riesgos Laborales.

Análisis

  • Rango: Resolucin
  • Fecha de disposición: 15/11/2011
  • Fecha de publicación: 23/11/2011
  • Fecha de derogación: 08/10/2015
Referencias posteriores

Criterio de ordenación:

  • SE DEROGA, por Resolucin de 8 de septiembre de 2015 (Ref. BOE-A-2015-10060).
  • SE CORRIGEN errores, por Resolucin de 29 de noviembre de 2011 (Ref. BOE-A-2011-19325).
Referencias anteriores
  • DE CONFORMIDAD con los arts. 22 y 25 del Reglamento aprobado por Real Decreto 704/2011, de 20 de mayo (Ref. BOE-A-2011-8849).
  • CITA Ley 8/2011, de 28 de abril (Ref. BOE-A-2011-7630).
Materias
  • Acceso a la informacin
  • Catstrofes
  • Comisiones de Control y Seguimiento
  • Normas de calidad
  • Organizacin de la Administracin del Estado
  • Programas
  • Proteccin Civil
  • Secretara de Estado de Seguridad

subir

Agencia Estatal Boletín Oficial del Estado

Avda. de Manoteras, 54 - 28050 Madrid