Agencia Estatal Boletín Oficial del Estado

Ministerio de la Presidencia Agencia Estatal Boletín Oficial del Estado

Está Vd. en

Documento BOE-A-2015-10060

Resolucin de 8 de septiembre de 2015, de la Secretara de Estado de Seguridad, por la que se aprueban los nuevos contenidos mnimos de los Planes de Seguridad del Operador y de los Planes de Proteccin Especficos.

TEXTO

El Reglamento de proteccin de infraestructuras crticas aprobado por el Real Decreto 704/2011, de 20 de mayo, por el que se desarrolla la Ley 8/2011, de 28 de abril, en la que se establecen medidas para la proteccin de las infraestructuras crticas, dispone en los artculos 22.4 y 25.5 que la Secretara de Estado de Seguridad establecer, respectivamente, los contenidos mnimos de los Planes de Seguridad del Operador y de los Planes de Proteccin Especficos comprendidos en el artculo 14 de la Ley.

Dichos contenidos mnimos fueron recogidos en la Resolucin de la Secretara de Estado de Seguridad, de 15 de noviembre de 2011, resolucin a su vez modificada por otra, de 29 de noviembre de 2011, que adverta y correga determinados errores en la primera.

La constante evolucin de la amenaza, la implantacin de nuevas regulaciones, estrategias y herramientas de planificacin, as como la experiencia adquirida en los ltimos cuatro aos, en buena parte, merced a las aportaciones efectuadas por los propios operadores crticos, hacen aconsejable la actualizacin de tales contenidos mnimos, con el fin de adecuar el nivel de planificacin y respuesta a las exigencias requeridas para una eficaz proteccin de las infraestructuras crticas nacionales.

En virtud de ello, y conforme a lo preceptuado en el artculo 7, apartado e), del Real Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento de Proteccin de las Infraestructuras Crticas, resuelvo aprobar y ordenar la publicacin en el Boletn Oficial del Estado de los nuevos contenidos mnimos de los Planes de Seguridad del Operador y de los Planes de Proteccin Especficos que se insertan como anexo I y anexo II, respectivamente, de esta resolucin.

La presente resolucin deroga la precedente en esta misma materia, de la Secretara de Estado de Seguridad, de 15 de noviembre de 2011, por la que se establecan los contenidos mnimos de los Planes de Seguridad del Operador y de los Planes de Proteccin Especficos, as como tambin la de 29 de noviembre de 2011, que modificaba la anterior.

Madrid, 8 de septiembre de 2015.–El Secretario de Estado de Seguridad, Francisco Martnez Vzquez.

ANEXO I
Gua Contenidos Mnimos

Plan de Seguridad del Operador (PSO)

ndice

1. Introduccin.

1.1 Base Legal.

1.2 Objetivo de este Documento.

1.3 Finalidad y Contenido del PSO.

1.4 Mtodo de Revisin y Actualizacin.

1.5 Proteccin y Gestin de la Informacin y Documentacin.

2. Poltica General de Seguridad del Operador y Marco de Gobierno.

2.1 Poltica General de Seguridad del Operador Crtico.

2.2 Marco de Gobierno de Seguridad.

2.2.1 Organizacin de la Seguridad y Comunicacin.

2.2.2 Formacin y Concienciacin.

2.2.3 Modelo de Gestin Aplicado.

2.2.4 Comunicacin.

3. Relacin de Servicios Esenciales prestados por el Operador Crtico.

3.1 Identificacin de los Servicios Esenciales.

3.2 Mantenimiento del Inventario de Servicios Esenciales.

3.3 Estudio de las Consecuencias de la Interrupcin del Servicio Esencial.

3.4 Interdependencias

4. Metodologa de Anlisis de Riesgos.

4.1 Descripcin de la Metodologa de Anlisis.

4.2 Tipologas de Activos que Soportan los Servicios Esenciales.

4.3 Identificacin y Evaluacin de Amenazas.

4.4 Valoracin y Gestin de Riesgos.

5. Criterios de aplicacin de medidas de seguridad integral.

6. Documentacin complementaria.

6.1 Normativa, Buenas Prcticas y Regulatoria.

6.2 Coordinacin con Otros Planes.

1. Introduccin.

1.1 Base legal.

El normal funcionamiento de los servicios esenciales que se prestan a la ciudadana descansa sobre una serie de infraestructuras de gestin tanto pblica como privada, cuyo funcionamiento es indispensable y no permite soluciones alternativas: las denominadas infraestructuras crticas. Por ello, se hace necesario el diseo de una poltica de seguridad homognea e integral en el seno de las organizaciones que est especficamente dirigida al mbito de las infraestructuras crticas, en la cual se definan los subsistemas de seguridad que se van a implantar para la proteccin de las mismas con el objetivo de impedir su destruccin, interrupcin o perturbacin, con el consiguiente perjuicio de la prestacin de los servicios esenciales a la poblacin.

Este es precisamente el espritu de la Ley 8/2011 de 28 de abril, por la que se establecen medidas para la proteccin de las infraestructuras crticas, que tiene como objeto el establecer las estrategias y las estructuras organizativas adecuadas que permitan dirigir y coordinar las actuaciones de los distintos rganos de las administraciones pblicas en materia de proteccin de infraestructuras crticas, previa identificacin y designacin de las mismas, impulsando la colaboracin e implicacin de los organismos y/o empresas gestoras y propietarias (operadores crticos) de dichas infraestructuras, a fin de optimizar el grado de proteccin de stas contra ataques deliberados tanto fsicos como lgicos, que puedan afectar a la prestacin de los servicios esenciales.

Dicha Ley tiene su desarrollo a travs del Real Decreto 704/2011 de 20 de mayo, por el que se aprueba el Reglamento de proteccin de las infraestructuras crticas.

El artculo 13 de la Ley explicita una serie de compromisos para los operadores crticos pblicos y privados, entre los que se encuentra la necesidad de elaboracin de un Plan de Seguridad del operador (en adelante, PSO) y de los Planes de Proteccin Especficos que se determinen (en adelante, PPE).

Por su parte, el artculo 22.4 del Real Decreto 704/2011 responsabiliza a la Secretara de Estado de Seguridad (rgano superior responsable del Sistema de Proteccin de Infraestructuras Crticas Nacionales, conforme al artculo 6 de la Ley 8/2011), a travs del CNPIC, del establecimiento y puesta a disposicin de los operadores crticos de los contenidos mnimos con los que deben contar los PSO, as como el modelo en el que basar la elaboracin de los mismos.

1.2 Objetivo de este Documento.

Con el presente documento se pretende dar cumplimiento a las instrucciones emanadas del Real Decreto 704/2011, estableciendo los contenidos mnimos sobre los que se debe de apoyar un operador crtico a la hora del diseo y elaboracin de su PSO. A su vez, se establecen algunos puntos explicativos sobre aspectos recogidos en la normativa de referencia.

Igualmente, se pretende orientar a aquellos operadores que hayan sido o vayan a ser designados como crticos en el diseo y elaboracin de su respectivo Plan, con el fin de que estos puedan definir el contenido de su poltica general y el marco organizativo de seguridad, que encontrar su desarrollo especfico en los PPE de cada una de sus infraestructuras crticas.

1.3 Finalidad y contenido del PSO.

El PSO definir la poltica general del operador para garantizar la seguridad integral del conjunto de instalaciones o sistemas de su propiedad o gestin.

El PSO, como instrumento de planificacin del Sistema de Proteccin de Infraestructuras Crticas, contendr, adems de un ndice referenciado sobre los contenidos del Plan, informacin sobre:

• Poltica general de seguridad del operador y marco de gobierno.

• Relacin de Servicios Esenciales prestados por el operador crtico.

• Metodologa de anlisis de riesgo (amenazas fsicas y de ciberseguridad).

• Criterios de aplicacin de Medidas de Seguridad Integral.

1.4 Mtodo de revisin y actualizacin

Conforme al artculo 24 del Real Decreto 704/2011 de 20 de mayo, por el que se aprueba el Reglamento de proteccin de las infraestructuras crticas, entre las obligaciones del operador, adems de la elaboracin y presentacin del PSO al Centro Nacional para la Proteccin de las Infraestructuras Crticas (en adelante CNPIC), se incluye su revisin y actualizacin peridica:

• Revisin: Bienal.

• Actualizacin: Cuando se produzca algn tipo de modificacin en los datos incluidos en el PSO. En este caso, el PSO quedar actualizado cuando dichas modificaciones hayan sido validadas por el CNPIC, o en las condiciones establecidas en su normativa sectorial especfica.

Independientemente de todo ello, en el caso de que varen algunas de las circunstancias indicadas en el PSO (modificacin de datos, identificacin de nuevas infraestructuras crticas, baja de infraestructuras crticas, cese de condiciones para ser considerado operador crtico, etc…), el operador deber trasladar la informacin oportuna al CNPIC, a travs de los canales habilitados al efecto (Sistema HERMES/PoC oficial), en el plazo mximo de diez das a partir de las circunstancias variadas.

1.5 Proteccin y Gestin de la informacin y documentacin.

La informacin es un valor estratgico para cualquier organizacin, siendo sta de carcter sensible, por lo que en este sentido, el operador debe definir sus procedimientos de gestin y tratamiento, as como los estndares de seguridad precisos para prestar una adecuada y eficaz proteccin de esa informacin, independientemente del formato en el que sta se encuentre.

Adems, los operadores designados como crticos, debern tratar los documentos que se deriven de la aplicacin de la Ley 8/2011 y su desarrollo normativo a travs del Real Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento de proteccin de las infraestructuras crticas, segn el grado de clasificacin que se derive de las citadas normas.

En virtud de la disposicin adicional segunda de la ley 08/2011, la clasificacin del PSO constar de forma expresa en el instrumento de su aprobacin. A tal fin, el tratamiento de los PSO deber estar regido conforme a las orientaciones publicadas por la Autoridad Nacional para la Proteccin de la Informacin Clasificada del Centro Nacional de Inteligencia en lo que se refiere al manejo y custodia de informacin clasificada con grado de Difusin Limitada.

Las orientaciones de referencia se encuentran recogidas en los siguientes documentos:

Seguridad documental.

OR-ASIP-04-01.04 – Orientaciones para el Manejo de Informacin Clasificada con Grado de Difusin Limitada.

Seguridad en el Personal.

OR-ASIP-04-02.02 – Instruccin de Seguridad del Personal para acceso a Informacin Clasificada.

Seguridad Fsica.

OR-ASIP-01-01.03 – Orientaciones para el Plan de Proteccin de una Zona de Acceso Restringido.

OR-ASIP-01-02.03–Orientaciones para la Constitucin de Zonas de Acceso Restringido.

Seguridad de los Sistemas de Informacin y Comunicaciones.

OR-ASIP-03-01.04 – Orientaciones para la Acreditacin de Sistemas de Informacin y Comunicaciones para el manejo de Informacin Clasificada.

2. Poltica General de Seguridad del Operador y Marco de seguridad.

2.1 Poltica General de Seguridad del Operador Crtico.

El objetivo de una Poltica de Seguridad es dirigir y dar soporte a la gestin de la seguridad. En ella, la Direccin de la Organizacin debe establecer claramente cules son sus lneas de actuacin y manifestar su apoyo y compromiso con la seguridad.

Por tanto, en este apartado, el operador deber reflejar el contenido de su Poltica de Seguridad de una forma homognea e integral que est especficamente dirigido al mbito de las infraestructuras crticas y que sirva de marco de referencia para la proteccin de las mismas, con el objetivo de impedir su perturbacin o destruccin.

Los aspectos mnimos que debe recoger la Poltica de Seguridad son:

• Objeto: La meta que pretende conseguir la Organizacin con la poltica y su posterior desarrollo y aplicacin.

• mbito o Alcance de Aplicacin: Una poltica puede estar limitada a determinados campos o aspectos o, por el contrario, ser de aplicacin a toda la Organizacin. El operador deber reflejar sobre qu partes de su Organizacin es aplicable la Poltica de Seguridad de proteccin de infraestructuras crticas, sin perder de vista que la misma ha de tener un carcter integral, considerando tanto la seguridad fsica como la ciberseguridad.

• Compromiso de la Alta Direccin: El operador debe garantizar que a la seguridad debe drsele la misma importancia que a otros factores de la produccin o negocio de la organizacin.

Por ello, el compromiso de la Organizacin con la Poltica de Seguridad y lo que de ella se desarrolle deber quedar plasmado mediante la aprobacin, sancin y apoyo de la misma por el rgano (Consejo de Administracin, Consejo de Direccin, etc.) o la persona (Presidente, Consejero Delegado, etc.) de gobierno o direccin de la misma con capacidad suficiente para implantarla en la organizacin, as como su firme y explcito compromiso con la proteccin de los servicios esenciales prestados, compromiso que se debe ver reflejado en el propio plan.

• Carcter Integral de la Seguridad: La seguridad fsica y la ciberseguridad son reas que deben ser abordadas de forma interrelacionada y con una perspectiva holstica de la seguridad. Esto redundar en una visin global de la seguridad, posibilitando el diseo de una estrategia corporativa nica, y optimizando el conocimiento, los recursos y los equipos. Por ello, el operador deber remarcar el carcter integral de la seguridad aplicada a sus infraestructuras crticas, indicando en todo caso el procedimiento por el que se pretende alcanzar dicha seguridad integral: aspectos concretos de la organizacin, estructuras, procedimientos, etctera. En este sentido, una respuesta integral a las diferentes amenazas existentes requiere la aplicacin coordinada de medidas de seguridad fsica y ciberseguridad.

• Actualizacin de la Poltica General de Seguridad del Operador: Al ser la poltica de seguridad un documento de alto nivel, no suele requerir cambios significativos a lo largo del tiempo. No obstante, el operador deber asegurarse de que sta se mantenga actualizada y refleje aquellos cambios requeridos por variaciones en los activos a proteger, del entorno que les pueda afectar (amenazas, vulnerabilidades, impactos, salvaguardas), o en la reglamentacin aplicable. En este apartado, el operador deber recoger el proceso a seguir para la actualizacin y mantenimiento de su Poltica de Seguridad, incluyendo la periodicidad y el responsable de llevar a cabo estas acciones.

2.2 Marco de Gobierno de Seguridad.

2.2.1 Organizacin de la Seguridad y Comunicacin.

El operador crtico debe designar a un Responsable de Seguridad y Enlace y a los Delegados de Seguridad en cada una de las infraestructuras crticas identificadas, as como a los sustitutos de ambos, de acuerdo a los requisitos establecidos en la Ley 8/2011. Deber, por tanto, asegurar que se encuentren en un nivel jerrquico suficiente dentro de su estructura organizativa, de tal forma que los designados puedan garantizar el cumplimiento y la aplicacin de la Poltica y de los requisitos establecidos para la proteccin de las infraestructuras crticas bajo su responsabilidad.

Asimismo, deber asegurar la presencia fsica del delegado de seguridad en la infraestructura en un tiempo prudencial, en caso de que ello sea necesario.

En este apartado, el operador crtico deber describir su organigrama de seguridad (comprendiendo tanto la Seguridad Fsica como la Ciberseguridad), con indicacin de las figuras recogidas en la Ley, as como los niveles jerrquicos que les correspondan en su estructura organizativa.

Dicho organigrama debe incluir la ubicacin fsica, estructura, jerarqua, rgano de gobierno e interrelacin de todas las reas de la organizacin con responsabilidad en cada uno de los mbitos de la seguridad corporativa. Adems, deber dejar constancia de que los designados tienen capacidad suficiente para llevar a cabo todas aquellas acciones que se deriven de la aplicacin de la Ley y el Real Decreto. En este sentido, el operador crtico deber presentar:

• Un organigrama general, donde se identifique la estructura de seguridad corporativa.

• Un organigrama especfico de la estructura de seguridad que integre la informacin sobre las distintas funciones que desempea en la organizacin.

En su caso, el operador crtico deber sealar los comits u rganos de decisin existentes en materia de seguridad, as como las funciones de cada uno de ellos.

Igualmente, se reflejarn los procedimientos de gestin y mantenimiento de la seguridad, haciendo constar si stos son de carcter propio o son subcontratados. En este ltimo caso, ser necesario relacionar la empresa o empresas subcontratadas, las certificaciones en materia de seguridad con las que cuentan aqullas, la sede desde la que se ejercen dichos servicios contratados, as como los servicios y compromisos acordados entre ambos. De igual forma, se definir la metodologa mediante la cual se lleva a cabo la comprobacin del cumplimiento por parte de la empresa contratada, con los protocolos de seguridad implementados en su caso por el operador.

En el campo de la ciberseguridad, y en lo relacionado con la proteccin de infraestructuras crticas, el CERT de Seguridad e Industria (en adelante CERTSI) es el responsable de la resolucin de incidencias cibernticas que puedan afectar a la prestacin de los servicios esenciales gestionados por los

El CERTSI, en aplicacin del Acuerdo Marco suscrito entre la Secretara de Estado de Seguridad y la Secretara de Estado de Telecomunicaciones y para la Sociedad de la Informacin, da apoyo directo al CNPIC en todo lo relativo a la prevencin y reaccin ante incidentes que puedan afectar a las redes y sistemas de los operadores de infraestructuras crticas y a la disponibilidad de los servicios que stos prestan.

Para todo ello, y previa suscripcin de un acuerdo de confidencialidad entre las partes (operador crtico – CNPIC – CERTSI), dicho CERT podr proporcionar servicios de prevencin, deteccin, alerta temprana y respuesta a incidentes en apoyo a los departamentos encargados de esta labor en el seno de cada organizacin.

2.2.1.1 El Responsable de Seguridad y Enlace.

Conforme al artculo 16.2 de la Ley, el operador crtico deber nombrar, en el plazo de tres meses desde su designacin como tal, al Responsable de Seguridad y Enlace de la organizacin, que deber estar habilitado por el Ministerio del Interior como Director de Seguridad, en virtud de lo dispuesto en el Real Decreto 2364/1994, de 9 de diciembre, en el que se aprueba el Reglamento de Seguridad Privada, o tener una habilitacin equivalente, segn su normativa sectorial especfica. Tal nombramiento deber ser comunicado a la Secretara de Estado de Seguridad, a travs del CNPIC.

El operador crtico deber hacer constar en este apartado el nombre y datos de contacto (direccin, telfonos y email) de la persona que fue designado como Responsable de Seguridad y Enlace as como de su sustituto, con idnticas condiciones, en ausencia del titular. Sus funciones en relacin con el artculo 34.2 del Real Decreto 704/2011 son las siguientes:

• Representar al operador crtico ante la Secretaria de Estado de Seguridad:

– En materias relativas a la seguridad de sus infraestructuras.

– En lo relativo a los diferentes planes especificados en el Real Decreto.

• Canalizar las necesidades operativas e informativas que surjan entre el operador crtico y el CNPIC.

2.2.1.2 El Delegado de Seguridad de la Infraestructura Crtica.

Conforme al artculo 17 de la Ley, el operador crtico con infraestructuras designadas como crticas o crticas europeas comunicar a las Delegaciones del Gobierno o, en su caso, al rgano competente de la Comunidad Autnoma con competencias estatutariamente reconocidas para la proteccin de personas y bienes y para el mantenimiento del orden pblico donde aqullas se ubiquen, la persona designada como Delegado de Seguridad y su sustituto. Esta comunicacin deber realizarse tambin al CNPIC, en el plazo de tres meses desde la notificacin oficial de que es propietario o gestor de al menos una infraestructura crtica o crtica europea.

El operador crtico deber hacer constar en este apartado el nombre y datos de contacto (direccin, telfonos y email) de la persona designada como Delegado de Seguridad, as como de su sustituto, con idnticas condiciones, cumpliendo los plazos establecidos desde su designacin como operador crtico, as como su participacin a las Autoridades correspondientes, segn lo establecido en el artculo 35.1 del Real Decreto 704/2011.

Es aconsejable que tanto el Delegado de Seguridad como su sustituto sean poseedores de titulacin relativa a la rama de seguridad, adems de pertenecer al departamento de seguridad de la entidad en cuestin.

Sus funciones en relacin con el artculo 35.2 del Real Decreto 704/2011, son las siguientes:

• Ser el enlace operativo y el canal de informacin con las autoridades competentes en materias relativas a la seguridad de sus infraestructuras.

• Canalizar las necesidades operativas e informativas que surjan, a nivel infraestructura, entre el operador y las autoridades competentes.

2.2.2 Formacin y Concienciacin.

El operador crtico deber colaborar con los programas o ejercicios que puedan derivarse del Plan Estratgico Sectorial, as como en su momento de los Planes de Apoyo Operativo.

El operador crtico reflejar en este apartado el Plan de Formacin previsto para el personal relacionado con la proteccin de las infraestructuras crticas, indicando la duracin, objetivos que se pretende conseguir, mecanismos de evaluacin que se contemplan para el mismo y periodos de actualizacin. As mismo, se incluir el responsable del plan y la capacitacin del mismo.

En el caso de que disponga de un Plan de Formacin General, especificar la parte relacionada con la proteccin de las infraestructuras crticas, y la incluir en este punto.

El operador crtico deber reflejar en este apartado su participacin en ejercicios de simulacin en incidentes de seguridad (fsicos y cibernticos), y la periodicidad programada para tales ejercicios.

El personal implicado directamente en la proteccin de los servicios esenciales e infraestructuras crticas deber ser formado para alcanzar conocimientos, a nivel bsico:

• Sobre seguridad integral (seguridad fsica y ciberseguridad).

• Sobre autoproteccin.

• Sobre seguridad del medio ambiente.

• Sobre habilidades organizativas y de comunicacin.

• Sobre sus responsabilidades/actuaciones en caso de materializarse un incidente, o en el caso de que se active un nivel de amenaza 4 5 del Plan de Prevencin y Proteccin Antiterrorista y/o del Plan Nacional de Proteccin de las Infraestructuras Crticas.

El personal no directamente implicado deber ser concienciado mediante la aplicacin de las polticas de formacin y operacionales activas en la organizacin.

2.2.3 Modelo de Gestin aplicado.

La seguridad integral depende de un proceso de gestin que debe aportar el control organizativo y tcnico necesario para determinar en todo momento el nivel de exposicin a las amenazas y el nivel de proteccin y respuesta que es capaz de proporcionar la organizacin para la proteccin y seguridad de sus servicios esenciales e Infraestructuras Crticas.

Por tanto, de acuerdo con la Poltica de Seguridad marcada, el operador crtico deber recoger dentro del PSO su modelo de gestin elegido, que deber contemplar como mnimo:

• Una implementacin de controles de seguridad alineada con las prioridades y necesidades evaluadas.

• Una evaluacin y monitorizacin contina de la seguridad, con identificacin de procesos y periodos.

• En el supuesto de que el operador crtico haya diseado un sistema de gestin y/o la evaluacin de la seguridad de las tecnologas de la informacin, de acuerdo a algn estndar de referencia internacional se debe indicar ste, as como las certificaciones que posee dicho sistema y el organismo certificador.

2.2.4 Comunicacin.

El operador crtico deber recoger explcitamente en este apartado los procedimientos establecidos para la comunicacin e intercambio de informacin relativa a la proteccin de infraestructuras crticas, de la siguiente manera:

Comunicacin al CNPIC:

• De aquellos incidentes o situaciones que puedan poner en riesgo o comprometer la seguridad de alguna de las infraestructuras de la que el operador es gestor y/o propietario, conforme al protocolo de comunicacin de incidentes PIC elaborado por este Centro y puesto a disposicin de los operadores crticos.

• De aquellas variaciones de carcter organizativo, de planificacin o estructural que se produzcan en el seno del propio operador y que afecten de alguna manera a las infraestructuras crticas objeto de proteccin (por ejemplo, ajuste de cartera de servicios, fusiones, adquisiciones o ventas de activos, cambios tcnicos, modificacin de infraestructuras, cambio de instalaciones, etc.).

Comunicacin al CERTSI:

• A travs de la Oficina de Coordinacin Ciberntica del Ministerio del Interior (OCC), de los incidentes que puedan comprometer la seguridad ciberntica de los sistemas y redes del operador crtico y la disponibilidad de los servicios que presta. Todo ello, conforme al protocolo de comunicacin de incidentes PIC elaborado por el CNPIC y puesto a disposicin de los operadores crticos.

3. Relacin de Servicios esenciales prestados por el Operador Crtico.

El PSO deber incluir, a modo de introduccin, la informacin de contexto suficiente para describir los siguientes aspectos:

• Presentacin general del operador crtico y sector/subsector principal/es de su actividad. En caso de grupos empresariales, se identificar claramente, con nombre y CIF, cul de las empresas es el operador crtico.

• Estructura organizativa y societaria de todo el Grupo (en el caso de grupos empresariales).

• Presencia geogrfica en los mbitos nacional e internacional, con un resumen de las Comunidades Autnomas donde presten sus servicios esenciales, as como de aquellos pases donde presten servicios similares.

• Principales lneas de actividad con la tipologa general de servicios/productos que ofrecen.

3.1 Identificacin de los Servicios esenciales.

El PSO deber identificar aquellos servicios esenciales para la ciudadana prestados por el operador a travs del conjunto de sus infraestructuras estratgicas ubicadas en el territorio nacional, en relacin al concepto de servicio esencial recogido en el artculo 2. a) de la Ley:

• Servicio necesario para el mantenimiento de las funciones sociales bsicas, la salud, la seguridad, el bienestar social y econmico de los ciudadanos.

• Eficaz funcionamiento de las Instituciones del Estado y las Administraciones Pblicas.

3.2 Mantenimiento del inventario de servicios esenciales.

Peridicamente, al menos bienalmente, el operador crtico deber revisar la relacin de servicios esenciales que figuran en su PSO, como consecuencia de la evolucin normal que cualquier empresa experimenta respecto a los servicios que ofrece.

As, en este mantenimiento deber incorporar aquellos cambio/s que se produzcan:

• Por causas endgenas (por ejemplo, ajuste de cartera de servicios, fusiones, adquisiciones o ventas de activos, cambios tcnicos, modificacin de infraestructuras, cambio de instalaciones, etc.).

• Como consecuencia de la adecuacin a los perodos establecidos en el Plan conforme al punto 1.4 de esta gua.

3.3 Estudio de las consecuencias de la interrupcin del servicio esencial.

El operador crtico deber llevar a cabo un estudio de las consecuencias que supondra la interrupcin y no disponibilidad del servicio esencial que presta a la sociedad, motivado por:

• Alteracin o interrupcin temporal del servicio prestado.

• Destruccin parcial o total de la infraestructura que gestiona el servicio.

Adicionalmente, deber identificar claramente, para cada uno de los casos anteriores, la siguiente informacin:

• Extensin geogrfica y nmero de personas que pueden verse afectadas.

• Efecto sobre operadores y servicios esenciales dependientes.

• Existencia de alternativas de prestacin del servicio esencial o mecanismos de contingencia proporcionados por el propio operador y nivel de degradacin que conllevan.

3.4 Interdependencias.

En relacin con el concepto de interdependencias recogido en el artculo 2. j) de la Ley, pueden existir efectos y repercusiones que afecten los servicios esenciales y las infraestructuras crticas propias y/o de otros operadores, tanto dentro del mismo sector como en otros sectores diferentes. Estas interdependencias debern ser en todo caso consideradas en el anlisis de riesgos que realicen los operadores en el marco global de su organizacin.

El operador crtico deber hacer referencia a las interdependencias que identifique, explicando en lneas generales el motivo que origina dichas dependencias:

• Entre sus propias instalaciones o servicios.

• Con operadores del mismo sector.

• Con operadores de distintos sectores.

• Con operadores de otros pases, del mismo sector o no.

• Con sus proveedores de servicio dentro de la cadena de suministros.

• Con los proveedores de servicios TIC contratados, tales como: proveedor(es) de telecomunicaciones, Centros de Proceso de Datos, servicios de seguridad (Centro de Operaciones de Seguridad, CERT privado, etctera) y cualesquiera otros que se considere, especificando para cada uno de ellos el nombre del proveedor, los servicios contratados, acuerdos de nivel de servicio (SLA) y cumplimiento del servicio provisto con la poltica general de seguridad del operador.

4. Metodologa del Anlisis de Riesgos.

En virtud de lo establecido en el artculo 22.3 del Real Decreto 704/2011, en el PSO se plasmar la metodologa o metodologas de anlisis de riesgos empleadas por el operador crtico. Dichas metodologas debern estar internacionalmente reconocidas, garantizar la continuidad de los servicios proporcionados por dicho operador y contemplar, de una manera global, tanto las amenazas fsicas como lgicas existentes contra la totalidad de sus activos crticos. Todo ello, con independencia de las medidas mnimas que se puedan establecer para los Planes de Proteccin Especficos conforme a lo establecido por el artculo 25.

4.1 Descripcin de la metodologa de anlisis.

Se describir de forma genrica la metodologa empleada por la Organizacin para la realizacin de los anlisis de riesgos de los diferentes Planes de Proteccin Especficos (PPE) que se deriven tras la designacin de sus infraestructuras crticas. Al menos, se aportar la siguiente informacin:

• Etapas esenciales.

• Algoritmos de clculo empleados.

• Mtodo empleado para la valoracin de los impactos.

• Mtricas de medicin de riesgos aceptables, residuales, etc.

• En particular, se harn constar las relaciones entre los anlisis de riesgos realizados a distintos niveles: A nivel de corporacin, a nivel de servicios y el ms concreto, a nivel de infraestructuras crticas.

4.2 Tipologas de activos que soportan los servicios esenciales.

Se denominan activos los recursos necesarios para que la Organizacin funcione correctamente y alcance los objetivos propuestos por su Direccin.

Sobre la base de los servicios identificados en el apartado 3.1 anterior, se incluirn en este apartado, para cada servicio esencial, los tipos de activos que los soportan, diferenciando aqullos que son crticos de los que no lo son.

Las tipologas de activos a considerar sern, al menos:

• Las instalaciones necesarias para la prestacin del servicio esencial.

• Los sistemas informticos necesarios para dar soporte a los servicios esenciales (hardware y software).

• Las redes de comunicaciones necesarias para la prestacin del servicio esencial.

• Las personas que explotan u operan todos los elementos anteriormente citados.

El objeto de esta seccin es la identificacin genrica de tipologas de activos asociadas a los servicios esenciales prestados por dicho operador, y sobre los que se focalizar el anlisis de riesgos que efecte el operador. El nivel de detalle ser aquel que permita una comprensin del funcionamiento de los servicios, as como las interrelaciones entre activos y servicios.

Los activos no sern necesariamente espacios fsicos concretos, pudiendo por ejemplo considerarse como activos sistemas distribuidos, tales como una red de datos.

4.3 Identificacin y evaluacin de amenazas.

En el marco de la normativa de proteccin de infraestructuras crticas y de cara a garantizar la adecuada proteccin de aquellas infraestructuras que prestan servicios esenciales, el operador crtico deber tener como referencia el rbol de amenazas proporcionado por el CNPIC, considerando de forma especial aquellas amenazas de origen terrorista o intencionado. El operador deber indicar expresamente las amenazas que ha considerado para la realizacin de los anlisis de riesgos, plasmando al menos:

• Las intencionadas, de tipo tanto fsico como lgico, que puedan afectar al conjunto de sus infraestructuras, las cuales debern identificarse de forma especfica en sus respectivos PPE, en su caso.

• Las procedentes de interdependencias, que puedan afectar directamente a los servicios esenciales, sean estas deliberadas o no.

4.4 Valoracin y Gestin de Riesgos.

Los PSO recogern la estrategia de gestin de riesgos implementada por el operador en cuanto a:

• Criterios utilizados para la valoracin de las categoras de clasificacin de los riesgos.

• Metodologa de seleccin de estrategia (reduccin, eliminacin, transferencia, etc.).

• Plazos para la implantacin de medidas, en el caso de elegir una estrategia de minimizacin del riesgo con indicacin, si existe, de mecanismos de priorizacin de acciones.

• Tratamiento dado a las amenazas de ataques deliberados y, en particular, a aquellas que tengan una baja probabilidad pero un alto impacto debido a las consecuencias por su destruccin o interrupcin en la continuidad de los servicios esenciales.

• Mecanismos de seguimiento y actualizacin peridicos de niveles de riesgo.

5. Criterios de aplicacin de medidas de seguridad integral.

Dentro del mbito de la seguridad integral, el operador definir a grandes rasgos los criterios utilizados en su organizacin para la aplicacin y administracin de la seguridad. En este sentido, incluir de forma genrica las medidas de seguridad implantadas en el conjunto de activos y recursos sobre los que se apoyan los servicios esenciales y que se recogern en sus respectivos PPE, al objeto de hacer frente a las amenazas fsicas y lgicas identificadas en los oportunos anlisis de riesgos efectuados sobre cada una de las tipologas de sus activos.

6. Documentacin complementaria.

6.1 Normativa, buenas prcticas y regulatoria.

El operador recoger en una breve referencia motivada toda la normativa de aplicacin y aquellas buenas prcticas que regulen el buen funcionamiento de los servicios esenciales prestados por todas y cada una de sus infraestructuras.

La normativa a incluir comprender la normativa general y sectorial, tanto de rango nacional, autonmico, europeo e internacional, relativas a:

• Seguridad Fsica.

• Ciberseguridad.

• Seguridad de la Informacin.

• Seguridad Personal.

• Seguridad Ambiental.

• Autoproteccin y Prevencin de Riesgos Laborales.

6.2 Coordinacin con otros Planes.

Se identificarn todos aquellos Planes diseados por el operador relativos a otros aspectos (continuidad de negocio, gestin del riesgo, respuesta, ciberseguridad, autoproteccin, emergencias, etc.) que puedan coordinarse con el Plan de Seguridad del operador y los respectivos Planes de Proteccin Especficos que sern activados en el caso de que las medidas preventivas fallen y se produzca un incidente. As mismo, debe dejarse constancia de la coordinacin existente con el Plan Nacional para la Proteccin de las Infraestructuras Crticas.

ANEXO II
Gua de contenidos mnimos

Plan de Proteccin Especfico (PPE)

ndice

1. Introduccin.

1.1 Base Legal.

1.2 Objetivo de este Documento.

1.3 Finalidad y Contenido del PPE.

1.4 Mtodo de Revisin y Actualizacin.

1.5 Proteccin y Gestin de la Informacin y Documentacin.

2. Aspectos Organizativos.

2.1 Organigrama de Seguridad.

2.2 Delegados de Seguridad de las Infraestructuras Crticas.

2.3 Mecanismos de Coordinacin.

2.4 Mecanismos y Responsables de Aprobacin.

3. Descripcin de la Infraestructura Crtica.

3.1 Datos Generales de la infraestructura crtica.

3.2 Activos/Elementos de la infraestructura crtica.

3.3 Interdependencias.

4. Resultados del Anlisis de Riesgos.

4.1 Amenazas Consideradas.

4.2 Medidas de Seguridad Integral existentes.

4.2.1 Organizativas o de Gestin.

4.2.2 Operacionales o Procedimentales.

4.2.3 De Proteccin o Tcnicas.

4.3 Valoracin de Riesgos.

5. Plan de Accin propuesto (por activo).

6. Documentacin complementaria.

1. Introduccin.

1.1 Base legal.

Segn establece la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la proteccin de las infraestructuras crticas, el operador designado como crtico, ya sea ste perteneciente al sector pblico o al privado, se integrar como agente del sistema de proteccin de infraestructuras crticas, debiendo cumplir con una serie de responsabilidades recogidas en su artculo 13.

De acuerdo con en el punto 1, letra d, del citado artculo, el operador deber elaborar un Plan de Proteccin Especfico (en adelante, PPE) por cada una de las infraestructuras crticas de las que sea propietario o gestor.

El Real Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento de proteccin de las infraestructuras crticas, a travs del cual se da desarrollo reglamentario a la Ley 8/2011, establece, en su captulo IV del Ttulo III sobre los Instrumentos de Planificacin, aquellos aspectos relativos a la elaboracin, finalidad y contenido de dichos planes, adems de su aprobacin o modificacin, registro, clasificacin y formas de revisin y actualizacin, as como las autoridades encargadas de su aplicacin y seguimiento, y la compatibilidad con otros planes ya existentes.

En este sentido, y conforme al artculo 25.5 de dicho real decreto, se asigna a la Secretara de Estado de Seguridad, a travs del Centro Nacional para la Proteccin de las Infraestructuras Crticas (en adelante, CNPIC), la responsabilidad de establecer los contenidos mnimos de los PPE, as como el modelo en el que fundamentar su estructura y complecin, sobre la base de las directrices y criterios marcados por el Plan de Seguridad del Operador (en adelante, PSO).

En el PPE, el operador crtico aplicar los siguientes aspectos y criterios incluidos en su PSO, que afecten de manera especfica a esa instalacin:

• Aspectos relativos a su poltica general de seguridad.

• Desarrollo de la metodologa de anlisis de riesgos que garantice la continuidad de los servicios proporcionados por dicho operador a travs de esa infraestructura crtica.

• Desarrollo de los criterios de aplicacin de las diferentes medidas de seguridad que se implanten para hacer frente a las amenazas, tanto fsicas como aquellas que afectan a la ciberseguridad, identificadas en relacin con cada una de las tipologas de los activos existentes en esa infraestructura.

1.2 Objetivo de este documento.

Con el presente documento se pretende dar cumplimiento a las instrucciones emanadas del Real Decreto 704/2011, estableciendo los contenidos mnimos sobre los que se debe apoyar el operador crtico a la hora de elaborar su respectivo PPE en las instalaciones catalogadas como crticas. A su vez, se establecen algunos puntos explicativos sobre aspectos recogidos en la Ley 8/2011 y el Real Decreto 704/2011.

1.3 Finalidad y contenido del PPE.

Los PPE son los documentos operativos donde se definen las medidas concretas a poner en marcha por los operadores crticos para garantizar la seguridad integral (seguridad fsica y ciberseguridad) de sus infraestructuras crticas.

Adems de un ndice referenciado a los contenidos del Plan, los PPE debern contener, al menos, la siguiente informacin especfica sobre la infraestructura a proteger:

• Organizacin de la seguridad.

• Descripcin de la infraestructura.

• Resultado del anlisis de riesgos:

Medidas de seguridad integral (tanto las existentes como las que sea necesario implementar) permanentes, temporales y graduales para las diferentes tipologas de activos a proteger y segn los distintos niveles de amenaza declarados a nivel nacional de acuerdo con lo establecido por el Plan de Prevencin y Proteccin Antiterrorista y por el Plan Nacional de Proteccin de Infraestructuras Crticas.

• Plan de accin propuesto (por cada activo evaluado en el anlisis de riesgos).

Los PPE debern estar alineados con las pautas establecidas en la Poltica General de Seguridad del operador reflejada en el PSO. As mismo, los anlisis de riesgos, vulnerabilidades y amenazas que se lleven a cabo, estarn sujetos a las pautas metodolgicas descritas en el PSO.

1.4 Mtodo de Revisin y Actualizacin.

Conforme al artculo 27 del Real Decreto por el que se aprueba el Reglamento de proteccin de las infraestructuras crticas, entre las obligaciones del operador crtico, adems de la elaboracin y presentacin del PPE al CNPIC, se incluye su revisin y actualizacin peridica:

• Revisin: Bienal, que deber ser aprobada por las Delegaciones del Gobierno en las CC.AA. y las Ciudades con Estatuto de Autonoma o, en su caso, por el rgano competente de las Comunidades Autnomas con competencias estatutariamente reconocidas para la proteccin de personas y bienes y para el mantenimiento del orden pblico, adems de por parte del CNPIC.

• Actualizacin: Cuando se produzca una modificacin en los datos incluidos dentro del PPE. En este caso, el PPE quedar actualizado cuando dichas modificaciones hayan sido validadas por el CNPIC, o en las condiciones establecidas en su normativa sectorial especfica.

Independientemente de todo ello, en el caso de que varen algunas de las circunstancias indicadas en el PPE (organizacin de la seguridad, datos de descripcin de la infraestructura, medidas de seguridad, etc…), el operador deber trasladar la informacin oportuna al CNPIC, a travs de los canales habilitados al efecto (Sistema HERMES/PoC oficial), en el plazo mximo de diez das a partir de las circunstancias variadas.

1.5 Proteccin y Gestin de la Informacin y Documentacin.

La informacin asociada con los PPE y aqulla relativa a los anlisis de riesgos y las medidas de seguridad implantadas sobre las infraestructuras crticas a las que hacen referencia es de carcter sensible, por lo que, en este sentido, el operador deber definir sus procedimientos de tratamiento de dicha informacin, as como los estndares de seguridad precisos para prestar una adecuada y eficaz proteccin de la informacin utilizados, independientemente del formato en el que sta se encuentre.

Adems, los operadores designados como crticos, debern tratar los documentos que se deriven de la aplicacin de la Ley 8/2011 y su desarrollo normativo a travs del Real Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento de proteccin de las infraestructuras, segn el grado de clasificacin que se derive de las citadas normas.

En virtud de la disposicin adicional segunda de la Ley 08/2011, la clasificacin del PPE constar de forma expresa en el instrumento de su aprobacin. A tal fin, el tratamiento de los PPE deber estar regido conforme a las orientaciones publicadas por la Autoridad Nacional para la Proteccin de la Informacin Clasificada del Centro Nacional de Inteligencia en lo que se refiere al manejo y custodia de informacin clasificada con grado de Difusin Limitada.

Las orientaciones de referencia se encuentran recogidas en los siguientes documentos:

Seguridad documental.

OR-ASIP-04-01.04.–Orientaciones para el Manejo de Informacin Clasificada con Grado de Difusin Limitada.

Seguridad en el personal.

OR-ASIP-04-02.02 – Instruccin de Seguridad del Personal para acceso a Informacin Clasificada.

Seguridad fsica.

OR-ASIP-01-01.03.–Orientaciones para el Plan de Proteccin de una Zona de Acceso Restringido.

OR-ASIP-01-02.03.–Orientaciones para la Constitucin de Zonas de Acceso Restringido.

Seguridad de los Sistemas de Informacin y Comunicaciones.

OR-ASIP-03-01.04.–Orientaciones para la Acreditacin de Sistemas de Informacin y Comunicaciones para el manejo de Informacin Clasificada.

2. Aspectos organizativos.

2.1 Organigrama de seguridad.

El operador crtico debe presentar grficamente la estructura organizativa funcional que en materia de seguridad integral existe en la infraestructura crtica, con indicacin de todos los actores que participan en aquella, su rol de responsabilidad y su jerarqua en el proceso de toma de decisiones. Del mismo modo, se debe establecer la dependencia de esta estructura con aquella definida en el correspondiente Plan de Seguridad del Operador.

2.2 Delegados de Seguridad de las Infraestructuras Crticas.

Conforme al artculo 17 de la Ley 8/2011, el operador crtico con infraestructuras designadas como crticas o criticas europeas comunicar a las Delegaciones del Gobierno en las CC.AA. y en las Ciudades con Estatuto de Autonoma o, en su caso, al rgano competente de la Comunidad Autnoma con competencias estatutariamente reconocidas para la proteccin de personas y bienes y para el mantenimiento del orden pblico donde aquellas se ubiquen, la persona designada como Delegado de Seguridad y su sustituto. Esta comunicacin deber realizarse tambin al CNPIC, en el plazo de tres meses desde la designacin de una infraestructura como crtica.

El operador crtico deber hacer constar en este apartado el nombre y datos de contacto (direccin, telfonos y email) de la persona designada como Delegado de Seguridad as como de su sustituto, con idnticas condiciones, cumpliendo los plazos establecidos desde su designacin, as como su participacin a las Autoridades correspondientes, segn lo establecido en el artculo 35.1 del Real Decreto 704/2011.

Es aconsejable que tanto el Delegado de Seguridad como su sustituto sean poseedores de titulacin relativa a la rama de seguridad, adems de pertenecer al departamento de seguridad de la entidad en cuestin.

Sus funciones en relacin con el artculo 35.2 del Real Decreto 704/2011, son las siguientes:

• Ser el enlace operativo y el canal de informacin con las autoridades competentes en materia relativa a la seguridad de sus infraestructuras.

• Canalizar las necesidades operativas e informativas que surjan.

El operador crtico deber reflejar en este apartado los cursos o formacin que el Delegado de Seguridad haya recibido, relacionados con las habilidades necesarias para el desempeo del puesto, de acuerdo con el Plan de Formacin previsto en el PSO.

2.3 Mecanismos de Coordinacin.

El operador crtico deber reflejar dentro de su PPE los mecanismos existentes de coordinacin:

• Entre el Delegado de Seguridad de la infraestructura crtica con otros Delegados de otras infraestructuras crticas y con el Responsable de Seguridad y Enlace del propio operador.

• Con autoridades y terceros (Fuerzas y Cuerpos de Seguridad del Estado/Cuerpos Policiales autonmicos y locales/CNPIC/otros).

• Con otros planes existentes del operador (planes de continuidad de negocio, planes de evacuacin, etc.).

• Con el CERT de Seguridad e Industria (CERTSI) identificando los puntos de contacto del operador en los 3 niveles requeridos: el institucional, y el directivo y el tcnico, todos ellos referidos a en la gestin de incidentes.

• Con los proveedores crticos que se especifiquen a tenor del desarrollo de lo establecido en el punto 3.2.

2.4 Mecanismos y responsables de aprobacin.

El operador deber incluir dentro del PPE los siguientes aspectos relativos a su aprobacin y revisin interna:

• Responsables de su aprobacin.

• Procedimiento que se sigue para su aprobacin.

• Fecha en la que se produjo su ltima aprobacin.

• Responsable de su revisin y actualizacin.

• Aspectos objeto de revisin, en su caso.

• Registros generados por el procedimiento de revisin que permitan comprobar que el PPE ha sido revisado (reuniones, acta del Comit correspondiente, estudios y anlisis realizados, actualizaciones de los anlisis de riesgos, etc.).

3. Descripcin de la Infraestructura Crtica.

3.1 Datos generales de la infraestructura crtica.

El operador crtico deber incluir los siguientes datos e informacin sobre la infraestructura a proteger:

• Generales, relativos a la denominacin y tipo de instalacin, propiedad y gestin de la misma.

• Sobre localizacin fsica y estructura (localizacin, planos generales, fotografas, componentes, etc.)

• Sobre los sistemas TIC que gestionan la infraestructura crtica y su arquitectura.

• Datos estratgicos:

Descripcin del servicio esencial que proporciona y el mbito geogrfico o poblacional del mismo.

Relacin con otras posibles infraestructuras necesarias para la prestacin de ese servicio esencial.

Descripcin de sus funciones y de su relacin con los servicios esenciales soportados.

3.2 Activos/elementos de la infraestructura crticas.

Se incluirn en este apartado todos los activos que soportan la infraestructura crtica, diferenciando aquellos que son vitales de los que no lo son. En concreto se detallarn:

• Las instalaciones o componentes de la infraestructura crtica que son necesarios y por lo tanto vitales para la prestacin del servicio esencial.

• Los sistemas informticos (hardware y software) utilizados, con especificacin de los fabricantes, modelos y, versiones, etctera.

• Las redes de comunicaciones que permiten intercambiar datos y que se utilicen para dicha infraestructura crtica:

Arquitectura de red, rangos de IP pblicas y, dominios.

Esquema(s) de red completo y detallado, de tipo grfico y con descripcin literaria, donde se recojan los flujos de intercambio de informacin que se realizan en las redes, as como sus permetros electrnicos.

Descripcin de componentes de la red (servidores, terminales, hubs, switches, nodos, routers, firewalls,…) as como su ubicacin fsica.

• Las personas o grupos de personas que explotan u operan todos los elementos anteriormente citados, indicando y detallando de forma particular si existe algn proceso externalizado a terceros.

• Los proveedores crticos que en general son necesarios para el funcionamiento de dicha infraestructura crtica, y especficamente:

De suministro elctrico.

De comunicaciones (telefona, internet, etc. …).

De tratamiento y almacenamiento de informacin (CPDs, etc.).

De ciberseguridad (CERTs privados, SOCs, etc.).

• Sobre los proveedores nombrados por el operador, se especificarn los distintos Acuerdos de Nivel de Servicios que se tienen contratados y que son considerados esenciales.

Del mismo modo, se especificarn las interdependencias existentes entre los diferentes activos que soportan o componen la infraestructura crtica. La informacin anterior deber ser la suficiente para recoger de manera explcita el alcance de la infraestructura a proteger y con el mismo nivel de detalle que se haya establecido dentro del PSO.

3.3 Interdependencias.

En relacin con el concepto de interdependencias recogido en el artculo 2. j) de la Ley, pueden existir efectos y repercusiones que afecten los servicios esenciales y las infraestructuras crticas propias y/o de otros operadores, tanto dentro del mismo sector como en mbitos diferentes. Estas interdependencias debern ser en todo caso consideradas en el anlisis de riesgos que realicen los operadores para la infraestructura crtica de que se trate, en el marco del PPE.

El operador crtico deber hacer referencia dentro de sus diferentes PPE a las interdependencias que, en su caso, identifique, explicando brevemente el motivo que las origina:

• Con otras infraestructuras crticas del propio operador.

• Con otras infraestructuras estratgicas del propio operador que soportan el servicio esencial.

• Entre sus propias instalaciones o servicios.

• Con sus proveedores dentro de la cadena de suministro.

• Con los proveedores de servicios TIC contratados para esa infraestructura, tales como: proveedor(es) de telecomunicaciones, Centros de Proceso de Datos, servicios de seguridad (Centro de Operaciones de Seguridad, CERT privado, etctera) y cualesquiera otros que se considere, especificando para cada uno de ellos el nombre del proveedor, los servicios contratados, acuerdos de nivel de servicio (SLA) y cumplimiento del servicio provisto con la poltica general de seguridad del operador.

• Con los proveedores de servicios de seguridad fsica, indicando los servicios prestados y el personal y medios empleados.

4. Resultados del Anlisis de Riesgos.

El operador crtico deber reflejar en su PPE los resultados del anlisis de riesgos integral realizado sobre la infraestructura crtica. Dicho anlisis de riesgos deber seguir las pautas metodolgicas recogidas en su PSO.

A continuacin se reflejan los contenidos mnimos relativos al anlisis de riesgos realizado que el operador deber incluir dentro del PPE.

4.1 Amenazas consideradas.

En el marco de la normativa de proteccin de infraestructuras crticas, y de cara a garantizar la adecuada proteccin de las infraestructuras crticas, el operador crtico deber tener como referencia el rbol de amenazas proporcionado por el CNPIC, considerando de forma especial aquellas amenazas de origen terrorista o intencionado. El operador deber indicar expresamente las amenazas que ha considerado para la realizacin de los anlisis de riesgos, plasmando al menos:

• Las amenazas intencionadas, tanto de tipo fsico como a la ciberseguridad, que afecten de forma especfica a alguno de los activos que soportan la infraestructura crtica.

• Las amenazas que puedan afectar directamente a la infraestructura procedente de las interdependencias identificadas, sean stas deliberadas o no.

• Las dirigidas al entorno cercano o elementos interdependientes tanto del ante-permetro fsico como lgico que puedan afectar a la infraestructura.

• Las amenazas que afecten a los sistemas de informacin que den soporte a la operacin de la infraestructura crtica y todos los que estn conectados a dichos sistemas sin contar con las adecuadas medidas de segmentacin.

• Las amenazas que afecten a los sistemas y servicios que soportan la seguridad integral.

4.2 Medidas de seguridad integral existentes.

El operador deber describir las medidas de seguridad integral (medidas de proteccin de las instalaciones, equipos, datos, software de base y aplicativos, personal y documentacin) implantadas en la actualidad, con las que se ha contado para la realizacin del anlisis de riesgos. Deber distinguir entre las medidas de carcter permanente, y aquellas temporales y graduales.

Por medidas permanentes se entienden aquellas medidas concretas ya adoptadas por el operador crtico, as como aquellas que considere necesarias instalar en funcin del resultado del anlisis de riesgo realizado respecto de los riesgos, amenazas y consecuencias/impacto sobre sus activos, dirigidas todas ellas a garantizar la seguridad integral de su instalacin catalogada como crtica de manera continua.

Por medidas temporales y graduales se entienden aquellas medidas de seguridad de carcter extraordinario que reforzarn a las permanentes y que se debern implementar de forma ascendente a raz de la activacin de alguno de los niveles de seguridad establecidos respectivamente en el Plan Nacional de Proteccin de las Infraestructuras Crticas (artculo 16.3 del RD 704/2011), en coordinacin con el Plan de Prevencin y Proteccin Antiterrorista, principalmente para los niveles 4 y 5, o bien como consecuencia de las comunicaciones que las autoridades competentes puedan efectuar al operador crtico en relacin con una amenaza concreta y temporal sobre la instalacin por l gestionada.

Dichas medidas debern permanecer activas durante el tiempo que est establecido el nivel de alarma, modificndose gradualmente en funcin de dicho nivel.

Para su mejor comprensin, se recomienda una aproximacin por capas para cada nivel, siendo la escala de niveles del 1 al 5 (nivel 1: riesgo bajo; nivel 2: riesgo moderado; nivel 3 riesgo medio; nivel 4: riesgo alto; nivel 5: riesgo muy alto), especificando para cada nivel las medidas de prevencin y proteccin, el tiempo de respuesta y el tiempo de recuperacin.

En concreto, el operador deber describir las medidas concretas de que dispone relativas a:

4.2.1 Organizativas o de Gestin.

El operador deber indicar si dispone de al menos de las siguientes medidas organizativas o de gestin, y el alcance de cada una de ellas:

• Anlisis de Riesgos: Evaluacin y valoracin de las amenazas, impactos y probabilidades para obtener un nivel de riesgo.

• Definicin de roles y responsabilidades: Asignacin de responsabilidades en materia de seguridad.

• Cuerpo normativo definido: Polticas, procedimientos y estndares de seguridad.

• Normas y/o regulaciones de aplicacin a la infraestructura crtica, as como identificacin de su nivel de cumplimiento.

• Certificacin, acreditacin y evaluacin de seguridad obtenidas para la infraestructura crtica.

4.2.2 Operacionales o Procedimentales.

El operador deber indicar si dispone de al menos las siguientes medidas operacionales o procedimentales, y el alcance de cada una de ellas.

• Procedimientos para la realizacin, gestin y mantenimiento de activos crticos (ciclo de vida):

Identificacin.

Adquisicin.

Catalogacin.

Alta.

Actualizacin.

Baja.

• Procedimientos de formacin, concienciacin y capacitacin (tanto general como especfica) para:

Empleados/Operarios.

Personal de seguridad.

Personal contratado.

Etc.

• Procedimientos de Contingencia/Recuperacin, en funcin de los escenarios de contingencia que hayan sido definidos. Se deben detallar adems los mtodos y polticas de copias de respaldo (backup).

• Procedimientos operativos para la monitorizacin, supervisin y evaluacin/auditora de:

Activos Fsicos de la infraestructura (Alcance/Operacin/Seguimiento).

Activos Lgicos o de sistemas de operacin (Alcance/Operacin/Seguimiento).

• Procedimientos de seguridad.

• Procedimientos para la gestin de acceso:

Gestin de usuarios: Altas, bajas y modificaciones, procesos de seleccin, rgimen interno, procedimientos de cese.

Control de accesos temporales:

De personas, vehculos, etc. al recinto general o a recintos restringidos.

Identificadores de usuario temporal de los sistemas (mantenimiento…).

Control de entradas y salidas:

Paquetera, correspondencia, etc.

Soportes, equipos e informacin (medidas y tecnologas de prevencin de fuga de informacin).

• Procedimientos operacionales del personal de seguridad (funciones, horarios, dotaciones, etc.).

• Procedimientos de gestin y respuesta ante amenazas e incidentes.

• Procedimientos de comunicacin e intercambio de informacin relativos a la proteccin de infraestructuras crticas (a travs del protocolo de incidentes proporcionado por el CNPIC al efecto):

Con el CNPIC:

Sobre incidentes o situaciones que puedan poner en riesgo o comprometer la seguridad de la infraestructura.

Sobre variacin de datos sobre la organizacin y medidas de seguridad, datos de descripcin de la infraestructura, etc.

Con el CERTSI:

A travs de la Oficina de Coordinacin Ciberntica del Ministerio del Interior (OCC), de los incidentes que puedan comprometer la seguridad ciberntica de los sistemas y redes de la infraestructura y la disponibilidad de los servicios por ella prestada.

4.2.3 De Proteccin o Tcnicas.

• Medidas de Prevencin y Deteccin:

Medidas y elementos de seguridad fsica y electrnica para la proteccin del permetro y control de accesos:

Vallas, zonas de seguridad, detectores de intrusos, cmaras de video vigilancia/CCTV, puertas y esclusas, cerraduras, lectores de matrculas, arcos de seguridad, tornos, scanners, tarjetas activas, lectores de tarjetas, etc.

Medidas y elementos de ciberseguridad:

• Firewalls, DMZ, IPSs, IDSs, segmentacin y aislamiento de redes, cifrado, VPNs, elementos y medidas de control de acceso de usuarios (tokens, controles biomtricos, etc.), medidas de instalacin y configuracin segura de elementos tcnicos, correladores de eventos y logs, proteccin frente Malware, etc.

Redundancia de sistemas (hardware y software).

Otros.

• Medidas de Coordinacin y Monitorizacin:

Centro de Control de Seguridad (control de alarmas, recepcin y visionado de imgenes, etc.).

Equipos de vigilancia (turnos, rondas, volumen, etc.).

Sistemas de comunicacin.

Otros.

4.3 Valoracin de riesgos.

En este apartado se describirn las principales conclusiones obtenidas en el anlisis de riesgos. Para cada par activo/amenaza se deber especificar la valoracin efectuada, sobre la base de los criterios especificados en la metodologa de anlisis de riesgos detallada en el PSO. Dentro de este apartado deber incluirse, para cada par activo/amenaza, la siguiente informacin:

• Quin ha evaluado/aprobado el riesgo y la estrategia de tratamiento asociada.

• Criterios de valoracin de riesgos adoptados.

• Fecha del ltimo anlisis llevado a cabo.

• Resultado/conclusin sobre el nivel de riesgo soportado.

• Evolucin en el tiempo de la evaluacin del par activo/amenaza

En particular, debern detallarse los riesgos asumidos en activos con niveles de impacto elevado y baja probabilidad de ocurrencia, que debern ser validados por el CNPIC.

5. Plan de accin propuesto (por activo).

En caso de ser pertinente y preverse la disposicin de medidas complementarias a las existentes a implementar en los prximos tres aos, se deber describir, como parte integrante del PPE:

• Listado de las medidas complementarias a disponer (fsicas o de ciberseguridad).

• Una explicacin de la operativa resultante para cada tipo de proteccin (fsico y lgico).

El operador deber especificar el conjunto detallado de medidas a aplicar para proteger el activo como consecuencia de los resultados obtenidos en el anlisis de riesgos. En concreto, deber incluir la siguiente informacin:

• Activo de aplicacin.

• Accin propuesta, con detalle de su mbito (alcance) de aplicacin.

• Responsables de su implantacin, plazos, mecanismos de coordinacin y seguimiento, etc.

• Carcter de la medida, permanente, temporal o gradual.

6. Documentacin complementaria.

El operador crtico incorporar como anexo la planimetra general de la instalacin o sistema y de sus sistemas de informacin, as como aquellos otros planos que incorporen la ubicacin de las medidas de seguridad implementadas. A su vez, se podr adjuntar aquella otra informacin que se pueda generar de los diferentes apartados de este documento.

Se har una breve referencia a todos aquellos planes de diferente tipo (emergencia, autoproteccin, ciberseguridad, etc.), que afecten a la instalacin o sistema con el fin de establecer una adecuada coordinacin entre ellos, as como toda aquella normativa y buenas prcticas que regulen el buen funcionamiento del servicio esencial prestado por esa infraestructura y los motivos por los cuales le son de aplicacin.

La normativa a incluir comprender la normativa general y sectorial, tanto de rango nacional, autonmico, europeo e internacional, relativas a:

• Seguridad Fsica.

• Ciberseguridad.

• Seguridad de la Informacin.

• Seguridad Personal.

• Seguridad Ambiental.

• Autoproteccin y Prevencin de Riesgos Laborales.

Análisis

  • Rango: Resolucin
  • Fecha de disposición: 08/09/2015
  • Fecha de publicación: 18/09/2015
  • Entrada en vigor: 8 de octubre de 2015.
Referencias anteriores
  • DEROGA:
  • DE CONFORMIDAD con los arts. 22 y 25 del Reglamento aprobado por Real Decreto 704/2011, de 20 de mayo (Ref. BOE-A-2011-8849).
  • CITA Ley 8/2011, de 28 de abril (Ref. BOE-A-2011-7630).
Materias
  • Aguas
  • Catstrofes
  • Energa
  • Industrias
  • Organizacin de la Administracin del Estado
  • Proteccin Civil
  • Seguridad ciudadana
  • Telecomunicaciones
  • Transportes

subir

Agencia Estatal Boletín Oficial del Estado

Avda. de Manoteras, 54 - 28050 Madrid