Agencia Estatal Boletín Oficial del Estado

Ministerio de la Presidencia Agencia Estatal Boletín Oficial del Estado

Está Vd. en

Documento BOE-A-2015-11881

Real Decreto 951/2015, de 23 de octubre, de modificacin del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el mbito de la Administracin Electrnica.

TEXTO

La Ley 11/2007, de 22 de junio, de acceso electrnico de los ciudadanos a los Servicios Pblicos estableci el Esquema Nacional de Seguridad que, aprobado mediante Real Decreto 3/2010, de 8 de enero, tiene por objeto determinar la poltica de seguridad en la utilizacin de medios electrnicos en su mbito de aplicacin y estar constituido por los principios bsicos y requisitos mnimos que permitan una proteccin adecuada de la informacin. Tambin estableci que el mismo deba mantenerse actualizado de manera permanente y, en desarrollo de este precepto, el Real Decreto 3/2010, de 8 de enero, establece que el Esquema Nacional de Seguridad se desarrollar y perfeccionar a lo largo del tiempo en paralelo al progreso de los servicios de Administracin electrnica, la evolucin de la tecnologa, los nuevos estndares internacionales sobre seguridad y auditora, y la consolidacin de las infraestructuras que le sirven de apoyo, mantenindose actualizado de manera permanente.

Posteriormente, la Ley 40/2015, de 1 de octubre, de Rgimen Jurdico del Sector Pblico establece que las Administraciones Pblicas se relacionarn entre s y con sus rganos, organismos pblicos y entidades vinculados o dependientes a travs de medios electrnicos, que aseguren la interoperabilidad y seguridad de los sistemas y soluciones adoptadas por cada una de ellas, garantizarn la proteccin de los datos de carcter personal, y facilitarn preferentemente la prestacin conjunta de servicios a los interesados y recoge el Esquema Nacional de Seguridad en su artculo 156. Mientras que la Ley39/2015, de 1 de octubre, del Procedimiento Administrativo Comn de las Administraciones Pblicas, recoge en su artculo 13 sobre derechos de las personas en sus relaciones con las Administraciones Pblicas el relativo a la proteccin de datos de carcter personal, y en particular a la seguridad y confidencialidad de los datos que figuren en los ficheros, sistemas y aplicaciones de las Administraciones Pblicas.

En efecto, los ciudadanos confan en que los servicios pblicos disponibles por el medio electrnico se presten en unas condiciones de seguridad equivalentes a las que encuentran cuando se acercan personalmente a las oficinas de la Administracin.

Por otra parte, las ciberamenazas, que constituyen riesgos que afectan singularmente a la Seguridad Nacional, se han convertido en un potente instrumento de agresin contra las entidades pblicas y los ciudadanos en sus relaciones con las mismas, de manera que la ciberseguridad figura entre los doce mbitos prioritarios de actuacin de la Estrategia de Seguridad Nacional como instrumento actualizado para encarar el constante y profundo cambio mundial en el que nos hayamos inmersos y como garanta de la adecuada actuacin de Espaa en el mbito internacional. En particular, dicho mbito de actuacin de ciberseguridad se refiere a la garanta de la seguridad de los sistemas de informacin y las redes de comunicaciones e infraestructuras comunes a todas las Administraciones Pblicas y a que se finalizar la implantacin del Esquema Nacional de Seguridad, previsto en la Ley 11/2007, de 22 de junio. Profundizando en la cuestin, la Estrategia de Ciberseguridad Nacional que utilizan las Administraciones Pblicas poseen el adecuado nivel de ciberseguridad y resiliencia y en su lnea de accin 2, titulada Seguridad de los Sistemas de Informacin y Telecomunicaciones que soportan las Administraciones Pblicas, se incluye la medida relativa a Asegurar la plena implantacin del Esquema Nacional de Seguridad y articular los procedimientos necesarios para conocer regularmente el estado de las principales variables de seguridad de los sistemas afectados.

Por todo ello, y en particular dada la rpida evolucin de las tecnologas de aplicacin y la experiencia derivada de la implantacin del Esquema Nacional de Seguridad aconsejan la actualizacin de esta norma, cuyo alcance y contenido se orienta a precisar, profundizar y contribuir al mejor cumplimiento de los mandatos normativos, clarifica el papel del Centro Criptolgico Nacional y del CCN-CERT, elimina la referencia a INTECO, explicita y relaciona las instrucciones tcnicas de seguridad, y la Declaracin de Aplicabilidad, actualiza el Anexo II referido a las medidas de seguridad y simplifica y concreta el anexo III, referido a la auditora de seguridad, modifica el Glosario de trminos recogido en el anexo IV, modifica la redaccin de la clusula administrativa particular contenida en el anexo V y finaliza estableciendo mediante disposicin transitoria un plazo de veinticuatro meses contados a partir de la entrada en vigor para la adecuacin de los sistemas a lo dispuesto en la modificacin.

Y en ese sentido, se modifica el apartado 1 del artculo 11, el apartado 3 del 15, el ttulo del 18, su apartado 1 y se aade un nuevo apartado 4, el apartado a) del 19, el apartado2 del 24, el 27 mediante la introduccin de dos nuevos apartados 4 y 5, el ttulo del 29, sus apartados 1 y 2 y se introduce un nuevo apartado 3, los artculos 35 y 36, el apartado 1.a) del 37, los anexos II a V, se elimina la disposicin adicional segunda, se modifica la numeracin de las disposiciones adicionales tercera y cuarta y se aade una nueva disposicin adicional cuarta.

Todo ello con dicha finalidad y con el fin de adecuarse a lo previsto en el Reglamento n. 910/2014, del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificacin electrnica y los servicios de confianza para las transacciones electrnicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE.

En su virtud, a propuesta del Ministro de Hacienda y Administraciones Pblicas y de la Ministra de la Presidencia, de acuerdo con el Consejo de Estado y previa deliberacin del Consejo de Ministros en su reunin del da 23 de octubre de 2015,

DISPONGO:

Artculo nico. Modificacin del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el mbito de la Administracin electrnica.

El Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el mbito de la Administracin Electrnica queda modificado en el siguiente sentido:

Uno. El apartado 1 del artculo 11 queda redactado como sigue:

Todos los rganos superiores de las Administraciones pblicas debern disponer formalmente de su poltica de seguridad que articule la gestin continuada de la seguridad, que ser aprobada por el titular del rgano superior correspondiente. Esta poltica de seguridad, se establecer de acuerdo con los principios bsicos indicados y se desarrollar aplicando los siguientes requisitos mnimos:

a) Organizacin e implantacin del proceso de seguridad.

b) Anlisis y gestin de los riesgos.

c) Gestin de personal.

d) Profesionalidad.

e) Autorizacin y control de los accesos.

f) Proteccin de las instalaciones.

g) Adquisicin de productos.

h) Seguridad por defecto.

i) Integridad y actualizacin del sistema.

j) Proteccin de la informacin almacenada y en trnsito.

k) Prevencin ante otros sistemas de informacin interconectados.

l) Registro de actividad.

m) Incidentes de seguridad.

n) Continuidad de la actividad.

o) Mejora continua del proceso de seguridad.

Dos. El apartado 3 del artculo 15 queda redactado como sigue:

3. Las Administraciones pblicas exigirn, de manera objetiva y no discriminatoria, que las organizaciones que les presten servicios de seguridad cuenten con profesionales cualificados y con unos niveles idneos de gestin y madurez en los servicios prestados.

Tres. Se modifica el artculo 18, cuyo ttulo pasa a ser Adquisicin de productos de seguridad y contratacin de servicios de seguridad y sus apartados 1 y 4 quedan redactados como sigue:

1. En la adquisicin de productos de seguridad de las tecnologas de la informacin y comunicaciones que vayan a ser empleados por las Administraciones pblicas se utilizarn, de forma proporcionada a la categora del sistema y nivel de seguridad determinados, aquellos que tengan certificada la funcionalidad de seguridad relacionada con el objeto de su adquisicin, salvo en aquellos casos en que las exigencias de proporcionalidad en cuanto a los riesgos asumidos no lo justifiquen a juicio del responsable de Seguridad.

4. Para la contratacin de servicios de seguridad se estar a lo dispuesto en los apartados anteriores y en el artculo 15.

Cuatro. El apartado a) del artculo 19 queda redactado como sigue:

a) El sistema proporcionar la mnima funcionalidad requerida para que la organizacin alcance sus objetivos.

Cinco. El apartado 2 del artculo 24 queda redactado como sigue:

2. Se dispondr de procedimientos de gestin de incidentes de seguridad y de debilidades detectadas en los elementos del sistema de informacin. Estos procedimientos cubrirn los mecanismos de deteccin, los criterios de clasificacin, los procedimientos de anlisis y resolucin, as como los cauces de comunicacin a las partes interesadas y el registro de las actuaciones. Este registro se emplear para la mejora continua de la seguridad del sistema.

Seis. Se aaden dos nuevos apartados 4 y 5 al artculo 27 redactados como sigue:

4. La relacin de medidas seleccionadas del Anexo II se formalizar en un documento denominado Declaracin de Aplicabilidad, firmado por el responsable de seguridad.

5. Las medidas de seguridad referenciadas en el Anexo II podrn ser reemplazadas por otras compensatorias siempre y cuando se justifique documentalmente que protegen igual o mejor el riesgo sobre los activos (Anexo I) y se satisfacen los principios bsicos y los requisitos mnimos previstos en los captulos II y III del real decreto. Como parte integral de la Declaracin de Aplicabilidad se indicar de forma detallada la correspondencia entre las medidas compensatorias implantadas y las medidas del Anexo II que compensan y el conjunto ser objeto de la aprobacin formal por parte del responsable de seguridad.

Siete. Se modifica el artculo 29, cuyo ttulo pasa a ser Instrucciones tcnicas de seguridad y guas de seguridad y queda redactado como sigue:

1. Para el mejor cumplimiento de lo establecido en el Esquema Nacional de Seguridad, el Centro Criptolgico Nacional, en el ejercicio de sus competencias, elaborar y difundir las correspondientes guas de seguridad de las tecnologas de la informacin y las comunicaciones.

2. El Ministerio de Hacienda y Administraciones Pblicas, a propuesta del Comit Sectorial de Administracin Electrnica previsto en el artculo 40 de la Ley11/2007, de 22 de junio, y a iniciativa del Centro Criptolgico Nacional, aprobar las instrucciones tcnicas de seguridad de obligado cumplimiento y se publicarn mediante resolucin de la Secretara de Estado de Administraciones Pblicas. Para la redaccin y mantenimiento de las instrucciones tcnicas de seguridad se constituirn los correspondientes grupos de trabajo en los rganos colegiados con competencias en materia de administracin electrnica.

3. Las instrucciones tcnicas de seguridad tendrn en cuenta las normas armonizadas a nivel europeo que resulten de aplicacin.

Ocho. El artculo 35 queda redactado como sigue:

El Comit Sectorial de Administracin Electrnica recoger la informacin relacionada con el estado de las principales variables de la seguridad en los sistemas de informacin a los que se refiere el presente Real Decreto, de forma que permita elaborar un perfil general del estado de la seguridad en las Administraciones pblicas.

El Centro Criptolgico Nacional articular los procedimientos necesarios para la recogida y consolidacin de la informacin, as como los aspectos metodolgicos para su tratamiento y explotacin, a travs de los correspondientes grupos de trabajo que se constituyan al efecto en el Comit Sectorial de Administracin Electrnica y en la Comisin de Estrategia TIC para la Administracin General del Estado.

Nueve. En el artculo 36 se aade un segundo prrafo con la siguiente redaccin:

Las Administraciones Pblicas notificarn al Centro Criptolgico Nacional aquellos incidentes que tengan un impacto significativo en la seguridad de la informacin manejada y de los servicios prestados en relacin con la categorizacin de sistemas recogida en el Anexo I del presente real decreto.

Diez. En el artculo 37, el apartado 1.a) queda redactado como sigue:

a) Soporte y coordinacin para el tratamiento de vulnerabilidades y la resolucin de incidentes de seguridad que tengan la Administracin General del Estado, las Administraciones de las comunidades autnomas, las entidades que integran la Administracin Local y las Entidades de Derecho pblico con personalidad jurdica propia vinculadas o dependientes de cualquiera de las administraciones indicadas.

El CCN-CERT, a travs de su servicio de apoyo tcnico y de coordinacin, actuar con la mxima celeridad ante cualquier agresin recibida en los sistemas de informacin de las Administraciones pblicas.

Para el cumplimiento de los fines indicados en los prrafos anteriores se podrn recabar informes de auditora de los sistemas afectados, registros de auditora, configuraciones y cualquier otra informacin que se considere relevante, as como los soportes informticos que se estimen necesarios para la investigacin del incidente de los sistemas afectados, sin perjuicio de lo dispuesto en la Ley Orgnica15/1999, de 13 de diciembre, de Proteccin de Datos de carcter personal, y su normativa de desarrollo, as como de la posible confidencialidad de datos de carcter institucional u organizativo.

Once. Se elimina la disposicin adicional segunda Instituto Nacional de Tecnologas de la Comunicacin (INTECO) y organismos anlogos, pasando la disposicin adicional tercera a ser la disposicin adicional segunda y la disposicin adicional cuarta a ser la disposicin adicional tercera.

Doce. Se aade una nueva disposicin adicional cuarta redactada como sigue:

Disposicin adicional cuarta. Desarrollo del Esquema Nacional de Seguridad.

1. Sin perjuicio de las propuestas que pueda acordar el Comit Sectorial de Administracin Electrnica segn lo establecido en el artculo 29, apartado 2, se desarrollarn las siguientes instrucciones tcnicas de seguridad que sern de obligado cumplimiento por parte de las Administraciones pblicas:

a) Informe del estado de la seguridad.

b) Notificacin de incidentes de seguridad.

c) Auditora de la seguridad.

d) Conformidad con el Esquema Nacional de Seguridad.

e) Adquisicin de productos de seguridad.

f) Criptologa de empleo en el Esquema Nacional de Seguridad.

g) Interconexin en el Esquema Nacional de Seguridad.

h) Requisitos de seguridad en entornos externalizados.

2. La aprobacin de estas instrucciones se realizar de acuerdo con el procedimiento establecido en el citado artculo 29 apartados 2 y 3.

Trece. La tabla del apartado 2.4 del anexo II, queda redactada como sigue:

Dimensiones

Medidas de seguridad

Afectadas

B

M

A

org

Marco organizativo

categora

aplica

=

=

org.1

Poltica de seguridad

categora

aplica

=

=

org.2

Normativa de seguridad

categora

aplica

=

=

org.3

Procedimientos de seguridad

categora

aplica

=

=

org.4

Proceso de autorizacin

op

Marco operacional

op.pl

Planificacin

categora

aplica

+

++

op.pl.1

Anlisis de riesgos

categora

aplica

+

++

op.pl.2

Arquitectura de seguridad

categora

aplica

=

=

op.pl.3

Adquisicin de nuevos componentes

D

n.a.

aplica

=

op.pl.4

Dimensionamiento/Gestin de capacidades

categora

n.a.

n.a.

aplica

op.pl.5

Componentes certificados

op.acc

Control de acceso

A T

aplica

=

=

op.acc.1

Identificacin

I C A T

aplica

=

=

op.acc.2

Requisitos de acceso

I C A T

n.a.

aplica

=

op.acc.3

Segregacin de funciones y tareas

I C A T

aplica

=

=

op.acc.4

Proceso de gestin de derechos de acceso

I C A T

aplica

+

++

op.acc.5

Mecanismo de autenticacin

I C A T

aplica

+

++

op.acc.6

Acceso local (local logon)

I C A T

aplica

+

=

op.acc.7

Acceso remoto (remote login)

op.exp

Explotacin

categora

aplica

=

=

op.exp.1

Inventario de activos

categora

aplica

=

=

op.exp.2

Configuracin de seguridad

categora

n.a.

aplica

=

op.exp.3

Gestin de la configuracin

categora

aplica

=

=

op.exp.4

Mantenimiento

categora

n.a.

aplica

=

op.exp.5

Gestin de cambios

categora

aplica

=

=

op.exp.6

Proteccin frente a cdigo daino

categora

n.a.

aplica

=

op.exp.7

Gestin de incidentes

T

aplica

+

++

op.exp.8

Registro de la actividad de los usuarios

categora

n.a.

aplica

=

op.exp.9

Registro de la gestin de incidentes

T

n.a.

n.a.

aplica

op.exp.10

Proteccin de los registros de actividad

categora

aplica

+

=

op.exp.11

Proteccin de claves criptogrficas

op.ext

Servicios externos

categora

n.a.

aplica

=

op.ext.1

Contratacin y acuerdos de nivel de servicio

categora

n.a.

aplica

=

op.ext.2

Gestin diaria

D

n.a.

n.a.

aplica

op.ext.9

Medios alternativos

op.cont

Continuidad del servicio

D

n.a.

aplica

=

op.cont.1

Anlisis de impacto

D

n.a.

n.a.

aplica

op.cont.2

Plan de continuidad

D

n.a.

n.a.

aplica

op.cont.3

Pruebas peridicas

op.mon

Monitorizacin del sistema

categora

n.a.

aplica

=

op.mon.1

Deteccin de intrusin

categora

n.a.

n.a.

aplica

op.mon.2

Sistema de mtricas

mp

Medidas de proteccin

mp.if

Proteccin de las instalaciones e infraestructuras

categora

aplica

=

=

mp.if.1

reas separadas y con control de acceso

categora

aplica

=

=

mp.if.2

Identificacin de las personas

categora

aplica

=

=

mp.if.3

Acondicionamiento de los locales

D

aplica

+

=

mp.if.4

Energa elctrica

D

aplica

=

=

mp.if.5

Proteccin frente a incendios

D

n.a.

aplica

=

mp.if.6

Proteccin frente a inundaciones

categora

aplica

=

=

mp.if.7

Registro de entrada y salida de equipamiento

D

n.a.

n.a.

aplica

mp.if.9

Instalaciones alternativas

mp.per

Gestin del personal

categora

n.a.

aplica

=

mp.per.1

Caracterizacin del puesto de trabajo

categora

aplica

=

=

mp.per.2

Deberes y obligaciones

categora

aplica

=

=

mp.per.3

Concienciacin

categora

aplica

=

=

mp.per.4

Formacin

D

n.a.

n.a.

aplica

mp.per.9

Personal alternativo

mp.eq

Proteccin de los equipos

categora

aplica

+

=

mp.eq.1

Puesto de trabajo despejado

A

n.a.

aplica

+

mp.eq.2

Bloqueo de puesto de trabajo

categora

aplica

=

+

mp.eq.3

Proteccin de equipos porttiles

D

n.a.

aplica

=

mp.eq.9

Medios alternativos

mp.com

Proteccin de las comunicaciones

categora

aplica

=

+

mp.com.1

Permetro seguro

C

n.a.

aplica

+

mp.com.2

Proteccin de la confidencialidad

I A

aplica

+

++

mp.com.3

Proteccin de la autenticidad y de la integridad

categora

n.a.

n.a.

aplica

mp.com.4

Segregacin de redes

D

n.a.

n.a.

aplica

mp.com.9

Medios alternativos

mp.si

Proteccin de los soportes de informacin

C

aplica

=

=

mp.si.1

Etiquetado

I C

n.a.

aplica

+

mp.si.2

Criptografa

categora

aplica

=

=

mp.si.3

Custodia

categora

aplica

=

=

mp.si.4

Transporte

C

aplica

+

=

mp.si.5

Borrado y destruccin

mp.sw

Proteccin de las aplicaciones informticas

categora

n.a.

aplica

=

mp.sw.1

Desarrollo

categora

aplica

+

++

mp.sw.2

Aceptacin y puesta en servicio

mp.info

Proteccin de la informacin

categora

aplica

=

=

mp.info.1

Datos de carcter personal

C

aplica

+

=

mp.info.2

Calificacin de la informacin

C

n.a.

n.a.

aplica

mp.info.3

Cifrado

I A

aplica

+

++

mp.info.4

Firma electrnica

T

n.a.

n.a.

aplica

mp.info.5

Sellos de tiempo

C

aplica

=

=

mp.info.6

Limpieza de documentos

D

aplica

=

=

mp.info.9

Copias de seguridad (backup)

mp.s

Proteccin de los servicios

categora

aplica

=

=

mp.s.1

Proteccin del correo electrnico

categora

aplica

=

+

mp.s.2

Proteccin de servicios y aplicaciones web

D

n.a.

aplica

+

mp.s.8

Proteccin frente a la denegacin de servicio

D

n.a.

n.a.

aplica

mp.s.9

Medios alternativos

Catorce. Se modifican los apartados 3.4, 4.1.2, 4.1.5, 4.2.1, 4.2.5, 4.3.3, 4.3.7, 4.3.8, 4.3.9, 4.3.11, 4.4.2, 4.6.1, 4.6.2, 5.2.3, 5.3.3, 5.4.2, 5.4.3, 5.5.2, 5.5.5, 5.6.1, 5.7.4, 5.7.5, 5.7.7 y 5.8.2 del Anexo II del Real Decreto, en los siguientes trminos:

3.4 Proceso de autorizacin [org.4].

dimensiones

Todas

categora

bsica

media

alta

aplica

=

=

Se establecer un proceso formal de autorizaciones que cubra todos los elementos del sistema de informacin:

a) Utilizacin de instalaciones, habituales y alternativas.

b) Entrada de equipos en produccin, en particular, equipos que involucren criptografa.

c) Entrada de aplicaciones en produccin.

d) Establecimiento de enlaces de comunicaciones con otros sistemas.

e) Utilizacin de medios de comunicacin, habituales y alternativos.

f) Utilizacin de soportes de informacin.

g) Utilizacin de equipos mviles. Se entender por equipos mviles ordenadores porttiles, PDA, u otros de naturaleza anloga.

h) Utilizacin de servicios de terceros, bajo contrato o Convenio.

4.1.2 Arquitectura de seguridad [op.pl.2].

dimensiones

Todas

categora

bsica

media

alta

aplica

+

+

La seguridad del sistema ser objeto de un planteamiento integral detallando, al menos, los siguientes aspectos:

Categora BSICA

a) Documentacin de las instalaciones:

1. reas.

2. Puntos de acceso.

b) Documentacin del sistema:

1. Equipos.

2. Redes internas y conexiones al exterior.

3. Puntos de acceso al sistema (puestos de trabajo y consolas de administracin).

c) Esquema de lneas de defensa:

1. Puntos de interconexin a otros sistemas o a otras redes, en especial si se trata de Internet o redes pblicas en general.

2. Cortafuegos, DMZ, etc.

3. Utilizacin de tecnologas diferentes para prevenir vulnerabilidades que pudieran perforar simultneamente varias lneas de defensa.

d) Sistema de identificacin y autenticacin de usuarios:

1. Uso de claves concertadas, contraseas, tarjetas de identificacin, biometra, u otras de naturaleza anloga.

2. Uso de ficheros o directorios para autenticar al usuario y determinar sus derechos de acceso.

Categora MEDIA

e) Sistema de gestin, relativo a la planificacin, organizacin y control de los recursos relativos a la seguridad de la informacin.

Categora ALTA

f) Sistema de gestin de seguridad de la informacin con actualizacin y aprobacin peridica.

g) Controles tcnicos internos:

1. Validacin de datos de entrada, salida y datos intermedios.

4.1.5 Componentes certificados [op.pl.5].

dimensiones

Todas

categora

bsica

media

alta

no aplica

no aplica

aplica

Categora ALTA

Se utilizarn sistemas, productos o equipos cuyas funcionalidades de seguridad y su nivel hayan sido evaluados conforme a normas europeas o internacionales y cuyos certificados estn reconocidos por el Esquema Nacional de Evaluacin y Certificacin de la Seguridad de las Tecnologas de la Informacin.

Tendrn la consideracin de normas europeas o internacionales, ISO/IEC 15408 u otras de naturaleza y calidad anlogas.

Una instruccin tcnica de seguridad detallar los criterios exigibles.

4.2.1 Identificacin [op.acc.1].

dimensiones

A T

nivel

bajo

medio

alto

aplica

=

=

La identificacin de los usuarios del sistema se realizar de acuerdo con lo que se indica a continuacin:

1. Se podrn utilizar como identificador nico los sistemas de identificacin previstos en la normativa de aplicacin.

2. Cuando el usuario tenga diferentes roles frente al sistema (por ejemplo, como ciudadano, como trabajador interno del organismo y como administrador de los sistemas) recibir identificadores singulares para cada uno de los casos de forma que siempre queden delimitados privilegios y registros de actividad.

3. Cada entidad (usuario o proceso) que accede al sistema, contar con un identificador singular de tal forma que:

a) Se puede saber quin recibe y qu derechos de acceso recibe.

b) Se puede saber quin ha hecho algo y qu ha hecho.

4. Las cuentas de usuario se gestionarn de la siguiente forma:

a) Cada cuenta estar asociada a un identificador nico.

b) Las cuentas deben ser inhabilitadas en los siguientes casos: cuando el usuario deja la organizacin; cuando el usuario cesa en la funcin para la cual se requera la cuenta de usuario; o, cuando la persona que la autoriz, da orden en sentido contrario.

c) Las cuentas se retendrn durante el periodo necesario para atender a las necesidades de trazabilidad de los registros de actividad asociados a las mismas. A este periodo se le denominar periodo de retencin.

5. En los supuestos contemplados en el Captulo IV relativo a "Comunicaciones Electrnicas", las partes intervinientes se identificarn de acuerdo a los mecanismos previstos en la legislacin europea y nacional en la materia, con la siguiente correspondencia entre los niveles de la dimensin de autenticidad de los sistemas de informacin a los que se tiene acceso y los niveles de seguridad (bajo, sustancial, alto) de los sistemas de identificacin electrnica previstos en el Reglamento n.910/2014, del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificacin electrnica y los servicios de confianza para las transacciones electrnicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE:

– Si se requiere un nivel BAJO en la dimensin de autenticidad (anexo I): Nivel de seguridad bajo, sustancial o alto (artculo 8 del Reglamento n. 910/2014)

– Si se requiere un nivel MEDIO en la dimensin de autenticidad (anexo I): Nivel de seguridad sustancial o alto (artculo 8 del Reglamento n. 910/2014)

– Si se requiere un nivel ALTO en la dimensin de autenticidad (anexo I): Nivel de seguridad alto (artculo 8 del Reglamento n. 910/2014).

4.2.5 Mecanismo de autenticacin [op.acc.5].

dimensiones

ICAT

nivel

bajo

medio

alto

aplica

+

++

Los mecanismos de autenticacin frente al sistema se adecuarn al nivel del sistema atendiendo a las consideraciones que siguen, pudiendo usarse los siguientes factores de autenticacin:

– "algo que se sabe": contraseas o claves concertadas.

– "algo que se tiene": componentes lgicos (tales como certificados software) o dispositivos fsicos (en expresin inglesa, tokens).

– "algo que se es": elementos biomtricos.

Los factores anteriores podrn utilizarse de manera aislada o combinarse para generar mecanismos de autenticacin fuerte.

Las guas CCN-STIC desarrollarn los mecanismos concretos adecuados para cada nivel.

Las instancias del factor o los factores de autenticacin que se utilicen en el sistema, se denominarn credenciales.

Antes de proporcionar las credenciales de autenticacin a los usuarios, estos debern haberse identificado y registrado de manera fidedigna ante el sistema o ante un proveedor de identidad electrnica reconocido por la Administracin. Se contemplan varias posibilidades de registro de los usuarios:

– Mediante la presentacin fsica del usuario y verificacin de su identidad acorde a la legalidad vigente, ante un funcionario habilitado para ello.

– De forma telemtica, mediante DNI electrnico o un certificado electrnico cualificado.

– De forma telemtica, utilizando otros sistemas admitidos legalmente para la identificacin de los ciudadanos de los contemplados en la normativa de aplicacin.

Nivel BAJO

a) Como principio general, se admitir el uso de cualquier mecanismo de autenticacin sustentado en un solo factor.

b) En el caso de utilizarse como factor "algo que se sabe", se aplicarn reglas bsicas de calidad de la misma.

c) Se atender a la seguridad de las credenciales de forma que:

1. Las credenciales se activarn una vez estn bajo el control efectivo del usuario.

2. Las credenciales estarn bajo el control exclusivo del usuario.

3. El usuario reconocer que las ha recibido y que conoce y acepta las obligaciones que implica su tenencia, en particular, el deber de custodia diligente, proteccin de su confidencialidad e informacin inmediata en caso de prdida.

4. Las credenciales se cambiarn con una periodicidad marcada por la poltica de la organizacin, atendiendo a la categora del sistema al que se accede.

5. Las credenciales se retirarn y sern deshabilitadas cuando la entidad (persona, equipo o proceso) que autentican termina su relacin con el sistema.

Nivel MEDIO

a) Se exigir el uso de al menos dos factores de autenticacin.

b) En el caso de utilizacin de "algo que se sabe" como factor de autenticacin, se establecern exigencias rigurosas de calidad y renovacin.

c) Las credenciales utilizadas debern haber sido obtenidas tras un registro previo:

1. Presencial.

2. Telemtico usando certificado electrnico cualificado.

3. Telemtico mediante una autenticacin con una credencial electrnica obtenida tras un registro previo presencial o telemtico usando certificado electrnico cualificado en dispositivo cualificado de creacin de firma.

Nivel ALTO

a) Las credenciales se suspendern tras un periodo definido de no utilizacin.

b) En el caso del uso de utilizacin de "algo que se tiene", se requerir el uso de elementos criptogrficos hardware usando algoritmos y parmetros acreditados por el Centro Criptolgico Nacional.

c) Las credenciales utilizadas debern haber sido obtenidas tras un registro previo presencial o telemtico usando certificado electrnico cualificado en dispositivo cualificado de creacin de firma.

4.3.3 Gestin de la configuracin [op.exp.3].

dimensiones

Todas

categora

bsica

media

alta

no aplica

aplica

=

Categora MEDIA

Se gestionar de forma continua la configuracin de los componentes del sistema de forma que:

a) Se mantenga en todo momento la regla de "funcionalidad mnima" ([op.exp.2]).

b) Se mantenga en todo momento la regla de "seguridad por defecto" ([op.exp.2]).

c) El sistema se adapte a las nuevas necesidades, previamente autorizadas ([op.acc.4]).

d) El sistema reaccione a vulnerabilidades reportadas ([op.exp.4]).

e) El sistema reaccione a incidentes (ver [op.exp.7]).

4.3.7 Gestin de incidentes [op.exp.7].

dimensiones

Todas

categora

bsica

media

alta

no aplica

aplica

=

Categora MEDIA

Se dispondr de un proceso integral para hacer frente a los incidentes que puedan tener un impacto en la seguridad del sistema, incluyendo:

a) Procedimiento de reporte de eventos de seguridad y debilidades, detallando los criterios de clasificacin y el escalado de la notificacin.

b) Procedimiento de toma de medidas urgentes, incluyendo la detencin de servicios, el aislamiento del sistema afectado, la recogida de evidencias y proteccin de los registros, segn convenga al caso.

c) Procedimiento de asignacin de recursos para investigar las causas, analizar las consecuencias y resolver el incidente.

d) Procedimientos para informar a las partes interesadas, internas y externas.

e) Procedimientos para:

1. Prevenir que se repita el incidente.

2. Incluir en los procedimientos de usuario la identificacin y forma de tratar el incidente.

3. Actualizar, extender, mejorar u optimizar los procedimientos de resolucin de incidentes.

La gestin de incidentes que afecten a datos de carcter personal tendr en cuenta lo dispuesto en la Ley Orgnica 15/1999, de 13 de diciembre, y normas de desarrollo, sin perjuicio de cumplir, adems, las medidas establecidas por este real decreto.

4.3.8 Registro de la actividad de los usuarios [op.exp.8].

dimensiones

T

nivel

bajo

medio

alto

aplica

+

++

Se registrarn las actividades de los usuarios en el sistema, de forma que:

a) El registro indicar quin realiza la actividad, cundo la realiza y sobre qu informacin.

b) Se incluir la actividad de los usuarios y, especialmente, la de los operadores y administradores en cuanto puedan acceder a la configuracin y actuar en el mantenimiento del sistema.

c) Debern registrarse las actividades realizadas con xito y los intentos fracasados.

d) La determinacin de qu actividades deben registrarse y con qu niveles de detalle se adoptar a la vista del anlisis de riesgos realizado sobre el sistema ([op.pl.1]).

Nivel BAJO

Se activarn los registros de actividad en los servidores.

Nivel MEDIO

Se revisarn informalmente los registros de actividad buscando patrones anormales.

Nivel ALTO

Se dispondr de un sistema automtico de recoleccin de registros y correlacin de eventos; es decir, una consola de seguridad centralizada.

4.3.9 Registro de la gestin de incidentes [op.exp.9].

dimensiones

Todas

categora

bsica

media

alta

no aplica

aplica

=

Categora MEDIA

Se registrarn todas las actuaciones relacionadas con la gestin de incidentes, de forma que:

a) Se registrar el reporte inicial, las actuaciones de emergencia y las modificaciones del sistema derivadas del incidente.

b) Se registrar aquella evidencia que pueda, posteriormente, sustentar una demanda judicial, o hacer frente a ella, cuando el incidente pueda llevar a actuaciones disciplinarias sobre el personal interno, sobre proveedores externos o a la persecucin de delitos. En la determinacin de la composicin y detalle de estas evidencias, se recurrir a asesoramiento legal especializado.

c) Como consecuencia del anlisis de los incidentes, se revisar la determinacin de los eventos auditables.

4.3.11 Proteccin de claves criptogrficas [op.exp.11].

dimensiones

Todas

categora

bsica

media

alta

aplica

+

=

Las claves criptogrficas se protegern durante todo su ciclo de vida: (1) generacin, (2) transporte al punto de explotacin, (3) custodia durante la explotacin, (4) archivo posterior a su retirada de explotacin activa y (5) destruccin final.

Categora BSICA

a) Los medios de generacin estarn aislados de los medios de explotacin.

b) Las claves retiradas de operacin que deban ser archivadas, lo sern en medios aislados de los de explotacin.

Categora MEDIA

a) Se usarn programas evaluados o dispositivos criptogrficos certificados conforme a lo establecido en [op.pl.5].

b) Se emplearn algoritmos acreditados por el Centro Criptolgico Nacional.

4.4.2 Gestin diaria [op.ext.2].

dimensiones

Todas

categora

bsica

media

alta

no aplica

aplica

=

Categora MEDIA

Para la gestin diaria del sistema, se establecern los siguientes puntos:

a) Un sistema rutinario para medir el cumplimiento de las obligaciones de servicio y el procedimiento para neutralizar cualquier desviacin fuera del margen de tolerancia acordado ([op.ext.1]).

b) El mecanismo y los procedimientos de coordinacin para llevar a cabo las tareas de mantenimiento de los sistemas afectados por el acuerdo.

c) El mecanismo y los procedimientos de coordinacin en caso de incidentes y desastres (ver [op.exp.7]).

4.6.1 Deteccin de intrusin [op.mon.1].

dimensiones

Todas

categora

bsica

media

alta

no aplica

aplica

=

Categora MEDIA

Se dispondrn de herramientas de deteccin o de prevencin de intrusin.

4.6.2 Sistema de mtricas [op.mon.2].

dimensiones

Todas

categora

bsica

media

alta

aplica

+

++

Categora BSICA:

Se recopilarn los datos necesarios atendiendo a la categora del sistema para conocer el grado de implantacin de las medidas de seguridad que apliquen de las detalladas en el Anexo II y, en su caso, para proveer el informe anual requerido por el artculo 35.

Categora MEDIA:

Adems, se recopilaran datos para valorar el sistema de gestin de incidentes, permitiendo conocer

– Nmero de incidentes de seguridad tratados.

– Tiempo empleado para cerrar el 50% de los incidentes.

– Tiempo empleado para cerrar el 90% de las incidentes.

Categora ALTA

Se recopilarn datos para conocer la eficiencia del sistema de seguridad TIC:

– Recursos consumidos: horas y presupuesto.

5.2.3 Concienciacin [mp.per.3].

dimensiones

Todas

categora

bsica

media

alta

aplica

=

=

Se realizarn las acciones necesarias para concienciar regularmente al personal acerca de su papel y responsabilidad para que la seguridad del sistema alcance los niveles exigidos.

En particular, se recordar regularmente:

a) La normativa de seguridad relativa al buen uso de los sistemas.

b) La identificacin de incidentes, actividades o comportamientos sospechosos que deban ser reportados para su tratamiento por personal especializado.

c) El procedimiento de reporte de incidentes de seguridad, sean reales o falsas alarmas.

5.3.3 Proteccin de porttiles [mp.eq.3].

dimensiones

Todas

categora

bsica

media

alta

aplica

=

+

Categora BSICA

Los equipos que sean susceptibles de salir de las instalaciones de la organizacin y no puedan beneficiarse de la proteccin fsica correspondiente, con un riesgo manifiesto de prdida o robo, sern protegidos adecuadamente.

Sin perjuicio de las medidas generales que les afecten, se adoptarn las siguientes:

a) Se llevar un inventario de equipos porttiles junto con una identificacin de la persona responsable del mismo y un control regular de que est positivamente bajo su control.

b) Se establecer un canal de comunicacin para informar, al servicio de gestin de incidentes, de prdidas o sustracciones.

c) Cuando un equipo porttil se conecte remotamente a travs de redes que no estn bajo el estricto control de la organizacin, el mbito de operacin del servidor limitar la informacin y los servicios accesibles a los mnimos imprescindibles, requiriendo autorizacin previa de los responsables de la informacin y los servicios afectados. Este punto es de aplicacin a conexiones a travs de Internet y otras redes que no sean de confianza.

d) Se evitar, en la medida de lo posible, que el equipo contenga claves de acceso remoto a la organizacin. Se considerarn claves de acceso remoto aquellas que sean capaces de habilitar un acceso a otros equipos de la organizacin, u otras de naturaleza anloga.

Categora ALTA

a) Se dotar al dispositivo de detectores de violacin que permitan saber el equipo ha sido manipulado y activen los procedimientos previstos de gestin del incidente.

b) La informacin de nivel alto almacenada en el disco se proteger mediante cifrado.

5.4.2 Proteccin de la confidencialidad [mp.com.2].

dimensiones

C

nivel

bajo

medio

alto

no aplica

aplica

+

Nivel MEDIO

a) Se emplearn redes privadas virtuales cuando la comunicacin discurra por redes fuera del propio dominio de seguridad.

b) Se emplearn algoritmos acreditados por el Centro Criptolgico Nacional.

Nivel ALTO

a) Se emplearn, preferentemente, dispositivos hardware en el establecimiento y utilizacin de la red privada virtual.

b) Se emplearn productos certificados conforme a lo establecido en [op.pl.5].

5.4.3 Proteccin de la autenticidad y de la integridad [mp.com.3].

dimensiones

I A

nivel

bajo

medio

alto

aplica

+

++

Nivel BAJO

a) Se asegurar la autenticidad del otro extremo de un canal de comunicacin antes de intercambiar informacin (ver [op.acc.5]).

b) Se prevendrn ataques activos, garantizando que al menos sern detectados. y se activarn los procedimientos previstos de tratamiento del incidente Se considerarn ataques activos:

1. La alteracin de la informacin en trnsito.

2. La inyeccin de informacin espuria.

3. El secuestro de la sesin por una tercera parte.

c) Se aceptar cualquier mecanismo de autenticacin de los previstos en normativa de aplicacin.

Nivel MEDIO

a) Se emplearn redes privadas virtuales cuando la comunicacin discurra por redes fuera del propio dominio de seguridad.

b) Se emplearn algoritmos acreditados por el Centro Criptolgico Nacional.

c) Se aceptar cualquier mecanismo de autenticacin de los previstos en la normativa de aplicacin. En caso de uso de claves concertadas se aplicarn exigencias medias en cuanto a su calidad frente a ataques de adivinacin, diccionario o fuerza bruta.

Nivel ALTO

a) Se valorar positivamente el empleo de dispositivos hardware en el establecimiento y utilizacin de la red privada virtual.

b) Se emplearn productos certificados conforme a lo establecido en [op.pl.5].

c) Se aceptar cualquier mecanismo de autenticacin de los previstos en normativa de aplicacin. En caso de uso de claves concertadas se aplicarn exigencias altas en cuanto a su calidad frente a ataques de adivinacin, diccionario o fuerza bruta.

5.5.2 Criptografa [mp.si.2].

dimensiones

I C

nivel

bajo

medio

alto

no aplica

aplica

+

Esta medida se aplica, en particular, a todos los dispositivos removibles. Se entendern por dispositivos removibles, los CD, DVD, discos USB, u otros de naturaleza anloga.

Nivel MEDIO

Se aplicarn mecanismos criptogrficos que garanticen la confidencialidad y la integridad de la informacin contenida.

Nivel ALTO

a) Se emplearn algoritmos acreditados por el Centro Criptolgico Nacional.

b) Se emplearn productos certificados conforme a lo establecido en [op.pl.5].

5.5.5 Borrado y destruccin [mp.si.5].

dimensiones

D

nivel

bajo

medio

alto

no aplica

+

=

La medida de borrado y destruccin de soportes de informacin se aplicar a todo tipo de equipos susceptibles de almacenar informacin, incluyendo medios electrnicos y no electrnicos.

Nivel BAJO

a) Los soportes que vayan a ser reutilizados para otra informacin o liberados a otra organizacin sern objeto de un borrado seguro de su contenido.

Nivel MEDIO

b) Se destruirn de forma segura los soportes, en los siguientes casos:

1. Cuando la naturaleza del soporte no permita un borrado seguro.

2. Cuando as lo requiera el procedimiento asociado al tipo de informacin contenida.

c) Se emplearn productos certificados conforme a lo establecido en ([op.pl.5]).

5.6.1 Desarrollo de aplicaciones [mp.sw.1].

dimensiones

Todas

categora

bajo

medio

alto

no aplica

aplica

=

Categora MEDIA

a) El desarrollo de aplicaciones se realizar sobre un sistema diferente y separado del de produccin, no debiendo existir herramientas o datos de desarrollo en el entorno de produccin.

b) Se aplicar una metodologa de desarrollo reconocida que:

1. Tome en consideracin los aspectos de seguridad a lo largo de todo el ciclo de vida.

2. Trate especficamente los datos usados en pruebas.

3. Permita la inspeccin del cdigo fuente.

4. Incluya normas de programacin segura.

c) Los siguientes elementos sern parte integral del diseo del sistema:

1. Los mecanismos de identificacin y autenticacin.

2. Los mecanismos de proteccin de la informacin tratada.

3. La generacin y tratamiento de pistas de auditora.

d) Las pruebas anteriores a la implantacin o modificacin de los sistemas de informacin no se realizarn con datos reales, salvo que se asegure el nivel de seguridad correspondiente.

5.7.4 Firma electrnica [mp.info.4].

dimensiones

I A

nivel

bajo

medio

alto

aplica

+

++

Se emplear la firma electrnica como un instrumento capaz de permitir la comprobacin de la autenticidad de la procedencia y la integridad de la informacin ofreciendo las bases para evitar el repudio.

La integridad y la autenticidad de los documentos se garantizarn por medio de firmas electrnicas con los condicionantes que se describen a continuacin, proporcionados a los niveles de seguridad requeridos por el sistema.

En el caso de que se utilicen otros mecanismos de firma electrnica sujetos a derecho, el sistema debe incorporar medidas compensatorias suficientes que ofrezcan garantas equivalentes o superiores en lo relativo a prevencin del repudio, usando el procedimiento previsto en el punto 5 del artculo 27.

Nivel BAJO

Se emplear cualquier tipo de firma electrnica de los previstos en la legislacin vigente.

Nivel MEDIO

a) Cuando se empleen sistemas de firma electrnica avanzada basados en certificados, estos sern cualificados.

b) Se emplearn algoritmos y parmetros acreditados por el Centro Criptolgico Nacional.

c) Se garantizar la verificacin y validacin de la firma electrnica durante el tiempo requerido por la actividad administrativa que aqulla soporte, sin perjuicio de que se pueda ampliar este perodo de acuerdo con lo que establezca la Poltica de Firma Electrnica y de Certificados que sea de aplicacin. Para tal fin:

d) Se adjuntar a la firma, o se referenciar, toda la informacin pertinente para su verificacin y validacin:

1. Certificados.

2. Datos de verificacin y validacin.

e) El organismo que recabe documentos firmados por el administrado verificar y validar la firma recibida en el momento de la recepcin, anexando o referenciando sin ambigedad la informacin descrita en los epgrafes 1 y 2 del apartado d).

f) La firma electrnica de documentos por parte de la Administracin anexar o referenciar sin ambigedad la informacin descrita en los epgrafes 1 y 2.

Nivel ALTO

1. Se usar firma electrnica cualificada, incorporando certificados cualificados y dispositivos cualificados de creacin de firma.

2. Se emplearn productos certificados conforme a lo establecido en [op.pl.5].

5.7.5 Sellos de tiempo [mp.info.5].

dimensiones

T

nivel

bajo

medio

alto

no aplica

no aplica

aplica

Nivel ALTO

Los sellos de tiempo prevendrn la posibilidad del repudio posterior:

1. Los sellos de tiempo se aplicarn a aquella informacin que sea susceptible de ser utilizada como evidencia electrnica en el futuro.

2. Los datos pertinentes para la verificacin posterior de la fecha sern tratados con la misma seguridad que la informacin fechada a efectos de disponibilidad, integridad y confidencialidad.

3. Se renovarn regularmente los sellos de tiempo hasta que la informacin protegida ya no sea requerida por el proceso administrativo al que da soporte.

4. Se utilizarn productos certificados (segn [op.pl.5]) o servicios externos admitidos (vase [op.exp.10]).

5. Se emplearn "sellos cualificados de tiempo electrnicos" acordes con la normativa europea en la materia.

5.7.7 Copias de seguridad (backup) [mp.info.9].

dimensiones

D

nivel

bajo

medio

alto

aplica

=

=

Se realizarn copias de seguridad que permitan recuperar datos perdidos, accidental o intencionadamente con una antigedad determinada.

Estas copias poseern el mismo nivel de seguridad que los datos originales en lo que se refiere a integridad, confidencialidad, autenticidad y trazabilidad. En particular, se considerar la conveniencia o necesidad, segn proceda, de que las copias de seguridad estn cifradas para garantizar la confidencialidad.

Las copias de seguridad debern abarcar:

g) Informacin de trabajo de la organizacin.

h) Aplicaciones en explotacin, incluyendo los sistemas operativos.

i) Datos de configuracin, servicios, aplicaciones, equipos, u otros de naturaleza anloga.

j) Claves utilizadas para preservar la confidencialidad de la informacin.

5.8.2 Proteccin de servicios y aplicaciones web [mp.s.2].

dimensiones

Todas

nivel

bsica

media

alta

aplica

=

+

Los subsistemas dedicados a la publicacin de informacin debern ser protegidos frente a las amenazas que les son propias.

a) Cuando la informacin tenga algn tipo de control de acceso, se garantizar la imposibilidad de acceder a la informacin obviando la autenticacin, en particular tomando medidas en los siguientes aspectos:

1. Se evitar que el servidor ofrezca acceso a los documentos por vas alternativas al protocolo determinado.

2. Se prevendrn ataques de manipulacin de URL.

3. Se prevendrn ataques de manipulacin de fragmentos de informacin que se almacena en el disco duro del visitante de una pgina web a travs de su navegador, a peticin del servidor de la pgina, conocido en terminologa inglesa como "cookies".

4. Se prevendrn ataques de inyeccin de cdigo.

b) Se prevendrn intentos de escalado de privilegios.

c) Se prevendrn ataques de "cross site scripting".

d) Se prevendrn ataques de manipulacin de programas o dispositivos que realizan una accin en representacin de otros, conocidos en terminologa inglesa como "proxies" y, sistemas especiales de almacenamiento de alta velocidad, conocidos en terminologa inglesa como "cachs".

Nivel BAJO

Se emplearn "certificados de autenticacin de sitio web" acordes a la normativa europea en la materia.

Nivel ALTO

Se emplearn "certificados cualificados de autenticacin del sitio web" acordes a la normativa europea en la materia.

Quince. El anexo III titulado Auditora de la seguridad, queda redactado como sigue:

1. Objeto de la auditora.

1.1 La seguridad de los sistemas de informacin de una organizacin ser auditada en los siguientes trminos:

a) Que la poltica de seguridad define los roles y funciones de los responsables de la informacin, los servicios, los activos y la seguridad del sistema de informacin.

b) Que existen procedimientos para resolucin de conflictos entre dichos responsables.

c) Que se han designado personas para dichos roles a la luz del principio de "separacin de funciones".

d) Que se ha realizado un anlisis de riesgos, con revisin y aprobacin anual.

e) Que se cumplen las recomendaciones de proteccin descritas en el anexoII, sobre Medidas de Seguridad, en funcin de las condiciones de aplicacin en cada caso.

f) Que existe un sistema de gestin de la seguridad de la informacin, documentado y con un proceso regular de aprobacin por la direccin.

1.2 La auditora se basar en la existencia de evidencias que permitan sustentar objetivamente el cumplimiento de los puntos mencionados:

a) Documentacin de los procedimientos.

b) Registro de incidentes.

c) Examen del personal afectado: conocimiento y praxis de las medidas que le afectan.

d) Productos certificados. Se considerar evidencia suficiente el empleo de productos que satisfagan lo establecido en el artculo 18 Adquisicin de productos y contratacin de servicios de seguridad.

2. Niveles de auditora.

Los niveles de auditora que se realizan a los sistemas de informacin, sern los siguientes:

2.1 Auditora a sistemas de categora BSICA.

a) Los sistemas de informacin de categora BSICA, o inferior, no necesitarn realizar una auditora. Bastar una autoevaluacin realizada por el mismo personal que administra el sistema de informacin, o en quien ste delegue.

El resultado de la autoevaluacin debe estar documentado, indicando si cada medida de seguridad est implantada y sujeta a revisin regular y las evidencias que sustentan la valoracin anterior.

b) Los informes de autoevaluacin sern analizados por el responsable de seguridad competente, que elevar las conclusiones al responsable del sistema para que adopte las medidas correctoras adecuadas.

2.2 Auditora a sistemas de categora MEDIA O ALTA.

a) El informe de auditora dictaminar sobre el grado de cumplimiento del presente real decreto, identificar sus deficiencias y sugerir las posibles medidas correctoras o complementarias que sean necesarias, as como las recomendaciones que se consideren oportunas. Deber, igualmente, incluir los criterios metodolgicos de auditora utilizados, el alcance y el objetivo de la auditora, y los datos, hechos y observaciones en que se basen las conclusiones formuladas.

b) Los informes de auditora sern analizados por el responsable de seguridad competente, que presentar sus conclusiones al responsable del sistema para que adopte las medidas correctoras adecuadas.

3. Interpretacin.

La interpretacin del presente anexo se realizar segn el sentido propio de sus palabras, en relacin con el contexto, antecedentes histricos y legislativos, entre los que figura lo dispuesto en la instruccin tcnica CCN-STIC correspondiente, atendiendo al espritu y finalidad de aquellas.

Diecisis. Se modifica el anexo IV titulado: Glosario. La definicin de Gestin de incidentes queda como sigue:

Gestin de incidentes. Plan de accin para atender a los incidentes que se den. Adems de resolverlos debe incorporar medidas de desempeo que permitan conocer la calidad del sistema de proteccin y detectar tendencias antes de que se conviertan en grandes problemas.

Diecisiete. El anexo V relativo al Modelo de clusula administrativa particular, queda redactado como sigue:

Clusula administrativa particular.–En cumplimiento con lo dispuesto en el artculo 115.4 del Real Decreto Legislativo 3/2011, de 14 de noviembre, por el que se aprueba el texto refundido de la Ley de Contratos del Sector Pblico, y en el artculo 18 del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el mbito de la Administracin Electrnica, el licitador incluir referencia precisa, documentada y acreditativa de que los productos de seguridad, servicios, equipos, sistemas, aplicaciones o sus componentes, cumplen con lo indicado en la medida op.pl.5 sobre componentes certificados, recogida en el apartado 4.1.5 del anexo II del citado Real Decreto 3/2010, de 8 de enero.

Cuando estos sean empleados para el tratamiento de datos de carcter personal, el licitador incluir, tambin, lo establecido en la Disposicin adicional nica del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el reglamento de desarrollo de la Ley Orgnica 15/1999, de 13 de diciembre, de proteccin de datos de carcter personal.

Disposicin transitoria nica. Adecuacin de sistemas.

Las entidades incluidas dentro en el mbito de aplicacin del presente real decreto dispondrn de un plazo de veinticuatro meses contados a partir de la fecha de la entrada en vigor del presente real decreto, para la adecuacin de sus sistemas a lo dispuesto en el mismo.

Disposicin final nica. Entrada en vigor.

El presente real decreto entrar en vigor el da siguiente al de su publicacin en el Boletn Oficial del Estado.

Dado en Oviedo, el 23 de octubre de 2015.

FELIPE R.

La Vicepresidenta del Gobierno y Ministra de la Presidencia,

SORAYA SENZ DE SANTAMARA ANTN

Análisis

  • Rango: Real Decreto
  • Fecha de disposición: 23/10/2015
  • Fecha de publicación: 04/11/2015
  • Entrada en vigor: 5 de noviembre de 2015.
Referencias anteriores
  • MODIFICA determinados preceptos del Real Decreto 3/2010, de 8 de enero (Ref. BOE-A-2010-1330).
  • DE CONFORMIDAD con:
Materias
  • Administracin electrnica
  • Administraciones Pblicas
  • Centro Nacional de Inteligencia
  • Comunicaciones electrnicas
  • Control de la informacin
  • Equipos informticos
  • Firma electrnica
  • Informacin
  • Organizacin de la Administracin del Estado

subir

Agencia Estatal Boletín Oficial del Estado

Avda. de Manoteras, 54 - 28050 Madrid