Agencia Estatal Boletín Oficial del Estado

Ministerio de la Presidencia Agencia Estatal Boletín Oficial del Estado

Está Vd. en

Documento BOE-A-2016-10109

Resolucin de 13 de octubre de 2016, de la Secretara de Estado de Administraciones Pblicas, por la que se aprueba la Instruccin Tcnica de Seguridad de conformidad con el Esquema Nacional de Seguridad.

TEXTO

La Ley 11/2007, de 22 de junio, de acceso electrnico de los ciudadanos a los Servicios Pblicos estableci el Esquema Nacional de Seguridad que, aprobado mediante Real Decreto 3/2010, de 8 de enero, tiene por objeto determinar la poltica de seguridad en la utilizacin de medios electrnicos en su mbito de aplicacin y estar constituido por los principios bsicos y requisitos mnimos que permitan una proteccin adecuada de la informacin. Posteriormente, la Ley 40/2015, de 1 de octubre, de Rgimen Jurdico del Sector Pblico, recoge el Esquema Nacional de Seguridad en su artculo 156 apartado 2 en similares trminos.

El Real Decreto 3/2010, de 8 de enero, prev en su artculo 29 apartado 2 que el Ministerio de Hacienda y Administraciones Pblicas, a propuesta del Comit Sectorial de Administracin Electrnica previsto en el artculo 40 de la Ley 11/2007, de 22 de junio, y a iniciativa del Centro Criptolgico Nacional, aprobar las instrucciones tcnicas de seguridad de obligado cumplimiento y se publicarn mediante resolucin de la Secretara de Estado de Administraciones Pblicas. Dichas instrucciones tcnicas de seguridad son esenciales para lograr una adecuada, homognea y coherente implantacin de los requisitos y medidas recogidos en el Esquema.

As, estas instrucciones tcnicas de seguridad, enumeradas en la disposicin adicional cuarta del citado Real Decreto, entran a regular aspectos concretos que la realidad cotidiana ha mostrado especialmente significativos, tales como: Informe del Estado de la Seguridad; notificacin de incidentes de Seguridad; auditora de la Seguridad; conformidad con el Esquema Nacional de Seguridad; adquisicin de Productos de Seguridad; criptologa de empleo en el Esquema Nacional de Seguridad; interconexin en el Esquema Nacional de Seguridad y Requisitos de Seguridad en entornos externalizados, sin perjuicio de las propuestas que pueda acordar el Comit Sectorial de Administracin Electrnica, segn lo establecido en el citado artculo 29.

Estas instrucciones tcnicas de seguridad se desarrollarn y perfeccionarn a lo largo del tiempo, en paralelo al progreso de los servicios de Administracin electrnica, las infraestructuras que los apoyan, la evolucin tecnolgica y los riesgos derivados de operar en el ciberespacio.

En particular, la Instruccin Tcnica de Seguridad de Conformidad con el Esquema Nacional de Seguridad establece los criterios y procedimientos para la determinacin de la conformidad con el Esquema Nacional de Seguridad y para la publicidad de dicha conformidad, al objeto de poder dar adecuada respuesta al mandato del Captulo VIII, Normas de conformidad, del Real Decreto 3/2010, de 8 de enero; as, determina los mecanismos de obtencin y ulterior publicidad de las declaraciones de conformidad y los distintivos de seguridad de los que sean acreedores y que se hubieren obtenido respecto al cumplimiento del Esquema Nacional de Seguridad.

Esta Resolucin se aprueba en aplicacin de lo dispuesto en el artculo 29 apartado 2 del Real Decreto 3/2010, de 8 de enero, a propuesta del Comit Sectorial de Administracin Electrnica y a iniciativa del Centro Criptolgico Nacional. En virtud de lo anterior, esta Secretara de Estado resuelve:

Primero.

Aprobar la Instruccin Tcnica de Seguridad Conformidad con el Esquema Nacional de Seguridad, cuyo texto se incluye a continuacin.

Segundo.

Ordenar su publicacin en el Boletn Oficial del Estado.

La Instruccin Tcnica de Seguridad de Conformidad con el Esquema Nacional de Seguridad que se aprueba mediante la presente Resolucin se aplicar desde el da siguiente al de su publicacin en el Boletn Oficial del Estado.

Madrid, 13 de octubre de 2016.–El Secretario de Estado de Administraciones Pblicas, Antonio Germn Beteta Barreda.

INSTRUCCIN TCNICA DE SEGURIDAD DE CONFORMIDAD CON EL ESQUEMA NACIONAL DE SEGURIDAD

NDICE

I. Objeto.

II. mbito de aplicacin.

III. Procedimientos de determinacin de la conformidad.

IV. Declaracin de Conformidad con el Esquema Nacional de Seguridad de sistemas de categora BSICA y su publicidad.

V. Certificacin de Conformidad con el Esquema Nacional de Seguridad de sistemas de categora MEDIA o ALTA y su publicidad.

VI. Requisitos de las entidades certificadoras.

VII. Soluciones y servicios prestados por el sector privado.

Anexo I. Contenido de la Declaracin de Conformidad con el Esquema Nacional de Seguridad.

Anexo II. Distintivo de Declaracin de Conformidad con el Esquema Nacional de Seguridad.

Anexo III. Contenido de la Certificacin de Conformidad con el Esquema Nacional de Seguridad.

Anexo IV. Distintivo de Certificacin de Conformidad con el Esquema Nacional de Seguridad.

I. Objeto

La Instruccin Tcnica de Seguridad de Conformidad con el Esquema Nacional de Seguridad tiene por objeto establecer los procedimientos para dar publicidad a la conformidad con el Esquema Nacional de Seguridad, as como los requisitos exigibles a las entidades certificadoras.

II. mbito de aplicacin

La presente Instruccin Tcnica de Seguridad ser de aplicacin a los sistemas de informacin comprendidos en lo dispuesto en el artculo 3 del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el mbito de la administracin electrnica.

III. Procedimientos de determinacin de la conformidad

III.1 En funcin de la categora de los sistemas de informacin del mbito de aplicacin del Esquema Nacional de Seguridad, de acuerdo con el Anexo I del Real Decreto 3/2010, de 8 de enero, se define el procedimiento de determinacin de la conformidad. As los sistemas de categora BSICA solo requerirn de una autoevaluacin para su declaracin de la conformidad, mientras que los sistemas de categora MEDIA O ALTA precisarn de una auditora formal para su certificacin de la conformidad.

III.2 La declaracin de la conformidad con el Esquema Nacional de Seguridad de los sistemas de informacin con categora BSICA se realizar mediante una autoevaluacin que, con carcter ordinario, verifique el cumplimiento de los requerimientos contemplados en el Esquema, al menos cada dos aos. Dicha autoevaluacin atender a lo dispuesto sobre auditora en el artculo 34 y en el anexo III del Real Decreto 3/2010, de 8 de enero. Dicha autoevaluacin podr ser desarrollada por el mismo personal que administra el sistema de informacin o en quin ste delegue.

III.3 La certificacin de la conformidad con el Esquema Nacional de Seguridad de los sistemas de informacin con categoras MEDIA o ALTA se realizar mediante un procedimiento de auditora formal que, con carcter ordinario, verifique el cumplimiento de los requerimientos contemplados en el Esquema, al menos cada dos aos. Dicha auditora se realizar segn lo dispuesto en el artculo 34 y en el anexo III del Real Decreto 3/2010, de 8 de enero.

III.4 Siendo obligatoria la auditora formal para los sistemas de categora MEDIA Y ALTA nada impide que un sistema de categora BSICA se someta igualmente a una auditoria formal de certificacin de la conformidad, siendo esta posibilidad siempre la deseable.

III.5 En las comunidades autnomas con lengua cooficial se podrn expedir las declaraciones, certificaciones y sus respectivos distintivos de conformidad en castellano o bien en texto bilinge. En este caso, se expedirn en un solo documento redactado en castellano y en la correspondiente lengua cooficial, en tipos de letra de igual rango con las especificaciones y diligencias que sobre su texto se establecen en los anexos correspondientes.

IV. Declaracin de Conformidad con el Esquema Nacional de Seguridad de sistemas de categora BSICA y su publicidad

IV.1 La Declaracin de Conformidad con el Esquema Nacional de Seguridad de sistemas de categora BSICA o inferior ser expedida por la propia entidad bajo cuya responsabilidad se encuentren dichos sistemas, y se completar mediante un Distintivo de Declaracin de Conformidad cuyo uso estar condicionado a la antedicha Declaracin de Conformidad.

IV.2 Dicha Declaracin de Conformidad as como su distintivo se expresarn en documentos electrnicos, en formato no editable y poseern el aspecto que se muestra en los Anexos I y II respectivamente de la presente Instruccin Tcnica de Seguridad.

IV.3 Para publicar la Declaracin de Conformidad con el Esquema Nacional de Seguridad en el caso de sistemas de informacin de categora BSICA o inferior bastar con la exhibicin en la sede electrnica de la entidad pblica titular o usuaria del sistema de informacin en cuestin, del Distintivo de Declaracin de Conformidad que incluir un enlace al documento de Declaracin de Conformidad correspondiente, que tambin permanecer accesible a travs de dicha sede electrnica.

V. Certificacin de Conformidad con el Esquema Nacional de Seguridad de sistemas de categora MEDIA o ALTA y su publicidad

V.1 La Certificacin de Conformidad con el Esquema Nacional de Seguridad, de sistemas de categoras MEDIA o ALTA, ser expedida por una entidad certificadora y se completar mediante un Distintivo de Certificacin de Conformidad cuyo uso estar condicionado a la antedicha Certificacin de Conformidad.

V.2 Dicha Certificacin de Conformidad as como su distintivo se expresarn en documentos electrnicos, en formato no editable y poseern el aspecto que se muestra en los Anexos III y IV respectivamente de la presente Instruccin Tcnica de Seguridad.

V.3 Para publicar la Certificacin de Conformidad con el Esquema Nacional de Seguridad en el caso de sistemas de informacin de categora MEDIA O ALTA bastar con la exhibicin en la sede electrnica de la entidad pblica titular o usuaria del sistema de informacin en cuestin, del Distintivo de Certificacin de Conformidad que incluir un enlace al documento de Certificacin de Conformidad correspondiente, que tambin permanecer accesible a travs de dicha sede electrnica.

VI. Requisitos de las entidades certificadoras

VI.1 Las entidades certificadoras a las que se refiere esta Instruccin Tcnica debern estar acreditadas por la Entidad Nacional de Acreditacin (ENAC) para la certificacin de sistemas del mbito de aplicacin del Esquema Nacional de Seguridad conforme a la norma UNE-EN ISO/IEC 17065:2012 Evaluacin de la conformidad. Requisitos para organismos que certifican productos, procesos y servicios.

VI.2 Si la entidad certificadora de que se trate no dispusiere de la acreditacin sealada, previamente a iniciar sus actividades, deber remitir al Centro Criptolgico Nacional, la aceptacin por parte de la Entidad Nacional de Acreditacin de haber solicitado la acreditacin antedicha, pudiendo iniciar sus actividades de certificacin de forma transitoria, disponiendo de 12 meses para obtener dicha acreditacin, transcurridos los cuales sin haberla obtenido debern cesar en sus actividades de certificacin. El Centro Criptolgico Nacional podr requerir a la entidad certificadora solicitante cuanta informacin adicional considere necesaria que le permita verificar su adecuacin y suficiencia.

VI.3 Transcurrido un ao desde la entrada en vigor de la presente Instruccin Tcnica de Seguridad, ya no ser posible iniciar ningn proceso de certificacin de la forma transitoria sealada en el punto anterior, exigindose a todas las entidades de certificacin la acreditacin recogida en el punto VI.1.

VI.4 Estarn exentas del cumplimiento de los requisitos sealados en los puntos anteriores del presente epgrafe aquellas entidades, rganos, organismos y unidades vinculadas o dependientes de las Administraciones Pblicas cuyas competencias incluyan el desarrollo de auditoras de sistemas de informacin, as conste en su normativa de creacin o decretos de estructura y quede garantizada la debida imparcialidad.

VI.5 El Centro Criptolgico Nacional mantendr en su sede electrnica una relacin actualizada de las Entidades de Certificacin, acreditadas o en vas de acreditacin, para expedir Certificaciones de Conformidad con el Esquema Nacional de Seguridad.

VII. Soluciones y servicios prestados por el sector privado

VII.1 Cuando los operadores del sector privado presten servicios o provean soluciones a las entidades pblicas, a los que resulte exigible el cumplimiento del Esquema Nacional de Seguridad, debern estar en condiciones de exhibir la correspondiente Declaracin de Conformidad con el Esquema Nacional de Seguridad, cuando se trate de sistemas de categora BSICA, o la Certificacin de Conformidad con el Esquema Nacional de Seguridad, cuando se trate de sistemas de categoras MEDIA o ALTA, utilizando los mismos procedimientos que los exigidos en esta Instruccin Tcnica de Seguridad para las entidades pblicas.

VIII.2 Es responsabilidad de las entidades pblicas contratantes notificar a los operadores del sector privado que participen en la provisin de soluciones tecnolgicas o la prestacin de servicios, la obligacin de que tales soluciones o servicios sean conformes con lo dispuesto en el Esquema Nacional de Seguridad y posean las correspondientes Declaraciones o Certificaciones de Conformidad, segn lo sealado en la presente Instruccin Tcnica de Seguridad.

VII.3 Cuando la provisin de las soluciones o la prestacin de los servicios sujetos al cumplimiento del Esquema Nacional de Seguridad sean realizados por operadores del sector privado, estos utilizarn los mismos modelos documentales utilizados para las Declaraciones, las Certificaciones o los Distintivos de Conformidad recogidos en la presente Instruccin Tcnica de Seguridad, sustituyendo las referencias a las entidades pblicas por las correspondientes a las entidades privadas. Anlogamente, los Distintivos de Conformidad, cuando se exhiban por parte de dichos operadores privados, debern enlazar con las correspondientes Declaraciones o Certificaciones de Conformidad, que permanecern siempre accesibles en la pgina electrnica del operador de que se trate.

VII.4 Adems del Centro Criptolgico Nacional y la Entidad Nacional de Acreditacin, las entidades pblicas usuarias de soluciones o servicios provistos o prestados por organizaciones del sector privado que exhiban una Declaracin o Certificacin de Conformidad con el Esquema Nacional de Seguridad podrn solicitar en todo momento a tales operadores los Informes de Autoevaluacin o Auditora correspondientes, al objeto de verificar la adecuacin e idoneidad de las antedichas manifestaciones.

ANEXO I
Contenido de la Declaracin de Conformidad con el Esquema Nacional deSeguridad

Cada entidad u organismo declarante podr disponer libremente de su propio formato de Declaracin de Conformidad con el Esquema Nacional de Seguridad, que deber mostrar, al menos, el contenido siguiente:

– Logotipo de la entidad u organismo declarante.

– Identificacin de la entidad u organismo declarante.

– Distintivo de Declaracin de Conformidad de acuerdo al anexo II de esta Instruccin Tcnica de Seguridad.

– Texto: “Declaracin de Conformidad con el Esquema Nacional de Seguridad”.

– Texto: “Los sistemas de informacin reseados, todos ellos de categora BSICA, y los servicios que se relacionan, han superado un proceso de autoevaluacin conforme con las exigencias del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el mbito de la Administracin electrnica, segn se indica en el correspondiente Informe de <<fecha>>:”

– <<enumerar los sistemas de informacin y los servicios objeto de la certificacin>>.

– Texto: “Fecha de declaracin de conformidad inicial: <<da>> de <<mes>> de <<ao>>”

– Texto: “Fecha de renovacin de la declaracin de conformidad: <<da>> de <<mes>> de <<ao>>”.

– Texto: “Fecha: <<Localidad (la que corresponda)>>, <<da>> de <<mes>> de <<ao>>”.

– Firma: <<Nombre y apellidos del titular del rgano Superior de que se trate>>.

Los textos que aparecen entre parntesis angulares se adaptarn a los aspectos concretos de la Declaracin de Conformidad expedida.

La gua de seguridad CCN-STIC 809 sobre declaracin y certificacin de conformidad con el Esquema Nacional de Seguridad y distintivos de cumplimiento ofrecer modelos ilustrativos de la citada Declaracin de conformidad.

ANEXO II
Distintivo de Declaracin de Conformidad con el Esquema Nacional de Seguridad

1

En la medida de lo posible, los Distintivos de Declaracin de Conformidad con el Esquema Nacional de Seguridad que se exhiban en medios electrnicos o en papel respetarn las proporciones, formas, tipografa y colores de la imagen anterior.

Colores directos

CMYK

RGB

Hexadecimal

Pantone Orange 021C

C: 0

R: 235

FF6600

M: 53

G: 111

Y: 100

B: 12

K: 0

ANEXO III
Contenido de la Certificacin de Conformidad con el Esquema Nacional de Seguridad

Cada Entidad Certificadora podr disponer libremente de su propio formato de Certificacin de Conformidad con el Esquema Nacional de Seguridad, que deber mostrar, al menos, el contenido siguiente:

– Logotipo de la Entidad Certificadora.

– Identificacin de la Entidad Certificadora.

– Distintivo de Certificacin de Conformidad de acuerdo al anexo IV de esta Instruccin Tcnica de Seguridad.

– Texto: “Certificado de Conformidad con el Esquema Nacional de Seguridad”.

– Texto: “<<Entidad Certificadora>> certifica que los sistemas de informacin reseados, todos ellos de categora <<sealar categora mxima aplicable (BSICA, MEDIA o ALTA)>>, y los servicios que se relacionan, de <<Entidad [pblica o privada], direccin postal>>, han sido auditados y encontrados conforme con las exigencias del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el mbito de la Administracin electrnica, segn se indica en el correspondiente Informe de Auditora de <<fecha>>:”

– <<enumerar los sistemas de informacin y los servicios objeto de la certificacin>>.

– Texto: “Nmero de certificado: <<nmero de certificado>>”.

– Texto: “Fecha de certificacin de conformidad inicial: <<da>> de <<mes>> de <<ao>>”.

– Texto: “Fecha de renovacin de la certificacin de conformidad: <<da>> de <<mes>> de <<ao>>”.

– Texto: “Fecha: <<Localidad (la que corresponda)>>, <<da>> de <<mes>> de <<ao>>”.

– Firma: Nombre y Apellidos del responsable competente de la Entidad Certificadora.

Los textos que aparecen entre parntesis angulares se adaptarn a los aspectos concretos de la certificacin expedida.

La gua de seguridad CCN-STIC 809 sobre declaracin y certificacin de conformidad con el Esquema Nacional de Seguridad y distintivos de cumplimiento ofrecer modelos ilustrativos de la citada Certificacin de conformidad.

ANEXO IV
Distintivo de Conformidad con el Esquema Nacional de Seguridad

1

En la medida de lo posible, los Distintivos de Certificacin de Conformidad con el Esquema Nacional de Seguridad que se exhiban en medios electrnicos o en papel respetarn las proporciones, formas, tipografa y colores de la imagen anterior.

Colores directos

CMYK

RGB

Hexadecimal

Pantome 653C

C: 82

R: 55

336699

M: 47

G: 99

Y: 11

B: 150

K: 0

Análisis

  • Rango: Resolucin
  • Fecha de disposición: 13/10/2016
  • Fecha de publicación: 02/11/2016
  • Aplicable desde el 3 de noviembre de 2016.
Referencias anteriores
  • DE CONFORMIDAD con el art. 29.2 del Real Decreto 3/2010, de 8 de enero (Ref. BOE-A-2010-1330).
Materias
  • Administracin electrnica
  • Administraciones Pblicas
  • Certificaciones
  • Distintivos
  • Entidades de certificacin
  • Informacin
  • Informtica
  • Normas de calidad
  • Redes de telecomunicacin
  • Secretara de Estado de Administraciones Pblicas

subir

Agencia Estatal Boletín Oficial del Estado

Avda. de Manoteras, 54 - 28050 Madrid