BOE A 2010 1330 Consolidado PDF

LEGISLACIN CONSOLIDADA
Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema

Nacional de Seguridad en el mbito de la Administracin Electrnica.
Ministerio de la Presidencia
BOE nm. 25, de 29 de enero de 2010
Referencia: BOE-A-2010-1330
TEXTO CONSOLIDADO
ltima modificacin: 4 de noviembre de 2015
I
La necesaria generalizacin de la sociedad de la informacin es subsidiaria, en gran
medida, de la confianza que genere en los ciudadanos la relacin a travs de medios
electrnicos.
En el mbito de las Administraciones pblicas, la consagracin del derecho a
comunicarse con ellas a travs de medios electrnicos comporta una obligacin correlativa
de las mismas, que tiene, como premisas, la promocin de las condiciones para que la
libertad y la igualdad sean reales y efectivas, y la remocin de los obstculos que impidan o
dificulten su plenitud, lo que demanda incorporar las peculiaridades que exigen una
aplicacin segura de estas tecnologas.
A ello ha venido a dar respuesta el artculo 42.2 de la Ley 11/2007, de 22 de junio, de
acceso electrnico de los ciudadanos a los servicios pblicos, mediante la creacin del
Esquema Nacional de Seguridad, cuyo objeto es el establecimiento de los principios y
requisitos de una poltica de seguridad en la utilizacin de medios electrnicos que permita la
adecuada proteccin de la informacin.
La finalidad del Esquema Nacional de Seguridad es la creacin de las condiciones
necesarias de confianza en el uso de los medios electrnicos, a travs de medidas para
garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios
electrnicos, que permita a los ciudadanos y a las Administraciones pblicas, el ejercicio de
derechos y el cumplimiento de deberes a travs de estos medios.
El Esquema Nacional de Seguridad persigue fundamentar la confianza en que los
sistemas de informacin prestarn sus servicios y custodiarn la informacin de acuerdo con
sus especificaciones funcionales, sin interrupciones o modificaciones fuera de control, y sin
que la informacin pueda llegar al conocimiento de personas no autorizadas. Se desarrollar
y perfeccionar en paralelo a la evolucin de los servicios y a medida que vayan
consolidndose los requisitos de los mismos y de las infraestructuras que lo apoyan.
Actualmente los sistemas de informacin de las administraciones pblicas estn
fuertemente imbricados entre s y con sistemas de informacin del sector privado: empresas
y administrados. De esta manera, la seguridad tiene un nuevo reto que va ms all del
aseguramiento individual de cada sistema. Es por ello que cada sistema debe tener claro su
permetro y los responsables de cada dominio de seguridad deben coordinarse
efectivamente para evitar tierras de nadie y fracturas que pudieran daar a la informacin
o a los servicios prestados.
Pgina 1
BOLETN OFICIAL DEL ESTADO
En este contexto se entiende por seguridad de las redes y de la informacin, la

capacidad de las redes o de los sistemas de informacin de resistir, con un determinado
nivel de confianza, los accidentes o acciones ilcitas o malintencionadas que comprometan la
disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o
transmitidos y de los servicios que dichas redes y sistemas ofrecen o hacen accesibles.
II
El Esquema Nacional de Seguridad tiene presentes las recomendaciones de la Unin
Europea (Decisin 2001/844/CE CECA, Euratom de la Comisin, de 29 de noviembre
de 2001, por la que se modifica su Reglamento interno y Decisin 2001/264/CE del Consejo,
de 19 de marzo de 2001, por la que se adoptan las normas de seguridad del Consejo), la
situacin tecnolgica de las diferentes Administraciones pblicas, as como los servicios
electrnicos existentes en las mismas, la utilizacin de estndares abiertos y, de forma
complementaria, estndares de uso generalizado por los ciudadanos.
Su articulacin se ha realizado atendiendo a la normativa nacional sobre Administracin
electrnica, proteccin de datos de carcter personal, firma electrnica y documento
nacional de identidad electrnico, Centro Criptolgico Nacional, sociedad de la informacin,
reutilizacin de la informacin en el sector pblico y rganos colegiados responsables de la
Administracin Electrnica; as como la regulacin de diferentes instrumentos y servicios de
la Administracin, las directrices y guas de la OCDE y disposiciones nacionales e
internacionales sobre normalizacin.
La Ley 11/2007, de 22 de junio, posibilita e inspira esta norma, a cuyo desarrollo
coadyuva, en los aspectos de la seguridad de los sistemas de tecnologas de la informacin
en las Administraciones pblicas, contribuyendo al desarrollo de un instrumento efectivo que
permite garantizar los derechos de los ciudadanos en la Administracin electrnica.
La Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter
Personal y sus normas de desarrollo, determinan las medidas para la proteccin de los datos
de carcter personal. Adems, aportan criterios para establecer la proporcionalidad entre las
medidas de seguridad y la informacin a proteger.
La Ley 30/1992, de 26 de noviembre, de Rgimen Jurdico de las Administraciones
Pblicas y del Procedimiento Administrativo Comn, referente legal imprescindible de
cualquier regulacin administrativa, determina la configuracin de numerosos mbitos de
confidencialidad administrativos, diferentes a la informacin clasificada y a los datos de
carcter personal, que necesitan ser materialmente protegidos. Asimismo determina el
sustrato legal de las comunicaciones administrativas y sus requisitos jurdicos de validez y
eficacia, sobre los que soportar los requerimientos tecnolgicos y de seguridad necesarios
para proyectar sus efectos en las comunicaciones realizadas por va electrnica.
La Ley 37/2007, de 16 de noviembre, sobre reutilizacin de la informacin del sector
pblico que determina la regulacin bsica del rgimen jurdico aplicable a la reutilizacin de
documentos elaborados en el sector pblico, que configura un mbito excepcionado de su
aplicacin, en el que se encuentra la informacin a la que se refiere el Esquema Nacional de
Seguridad.
Junto a las disposiciones indicadas, han inspirado el contenido de esta norma,
documentos de la Administracin en materia de seguridad electrnica, tales como los
Criterios de Seguridad, Normalizacin y Conservacin, las Guas CCN-STIC de Seguridad
de los Sistemas de Informacin y Comunicaciones, la Metodologa y herramientas de
anlisis y gestin de riesgos o el Esquema Nacional de Interoperabilidad, tambin
desarrollado al amparo de lo dispuesto en la Ley 11/2007, de 22 de junio.
III
Este real decreto se limita a establecer los principios bsicos y requisitos mnimos que,
de acuerdo con el inters general, naturaleza y complejidad de la materia regulada, permiten
una proteccin adecuada de la informacin y los servicios, lo que exige incluir el alcance y
procedimiento para gestionar la seguridad electrnica de los sistemas que tratan informacin
de las Administraciones pblicas en el mbito de la Ley 11/2007, de 22 de junio. Con ello, se
logra un comn denominador normativo, cuya regulacin no agota todas las posibilidades de
Pgina 2
normacin, y permite ser completada, mediante la regulacin de los objetivos, materialmente

no bsicos, que podrn ser decididos por polticas legislativas territoriales.
Para dar cumplimiento a lo anterior se determinan las dimensiones de seguridad y sus
niveles, la categora de los sistemas, las medidas de seguridad adecuadas y la auditora
peridica de la seguridad; se implanta la elaboracin de un informe para conocer
regularmente el estado de seguridad de los sistemas de informacin a los que se refiere el
presente real decreto, se establece el papel de la capacidad de respuesta ante incidentes de
seguridad de la informacin del Centro Criptolgico Nacional, se incluye un glosario de
trminos y se hace una referencia expresa a la formacin.
La norma se estructura en diez captulos, cuatro disposiciones adicionales, una
disposicin transitoria, una disposicin derogatoria y tres disposiciones finales. A los cuatro
primeros anexos dedicados a la categora de los sistemas, las medidas de seguridad, la
auditora de la seguridad, y el glosario de trminos, se les une un quinto que establece un
modelo de clusula administrativa particular a incluir en las prescripciones administrativas de
los contratos correspondientes.
En este real decreto se concibe la seguridad como una actividad integral, en la que no
caben actuaciones puntuales o tratamientos coyunturales, debido a que la debilidad de un
sistema la determina su punto ms frgil y, a menudo, este punto es la coordinacin entre
medidas individualmente adecuadas pero deficientemente ensambladas. La informacin
tratada en los sistemas electrnicos a los que se refiere este real decreto estar protegida
teniendo en cuenta los criterios establecidos en la Ley Orgnica 15/1999, de 13 de
diciembre.
El presente real decreto se aprueba en aplicacin de lo dispuesto en la disposicin final
octava de la Ley 11/2007, de 22 de junio y, de acuerdo con lo dispuesto en el artculo 42
apartado 3 y disposicin final primera de dicha norma, se ha elaborado con la participacin
de todas las Administraciones pblicas a las que les es de aplicacin, ha sido informado
favorablemente por la Comisin Permanente del Consejo Superior de Administracin
Electrnica, la Conferencia Sectorial de Administracin Pblica y la Comisin Nacional de
Administracin Local; y ha sido sometido al previo informe de la Agencia Espaola de
Proteccin de Datos. Asimismo, se ha sometido a la audiencia de los ciudadanos segn las
previsiones establecidas en el artculo 24 de la Ley 50/1997, de 27 de noviembre, del
Gobierno.
En su virtud, a propuesta de la Ministra de la Presidencia, de acuerdo con el Consejo de
Estado y previa deliberacin del Consejo de Ministros en su reunin del da 8 de enero de
2010,
DISPONGO:
CAPTULO I
Disposiciones generales
Artculo 1. Objeto.
1. El presente real decreto tiene por objeto regular el Esquema Nacional de Seguridad
establecido en el artculo 42 de la Ley 11/2007, de 22 de junio, y determinar la poltica de
seguridad que se ha de aplicar en la utilizacin de los medios electrnicos a los que se
refiere la citada ley.
2. El Esquema Nacional de Seguridad est constituido por los principios bsicos y
requisitos mnimos requeridos para una proteccin adecuada de la informacin. Ser
aplicado por las Administraciones pblicas para asegurar el acceso, integridad,
disponibilidad, autenticidad, confidencialidad, trazabilidad y conservacin de los datos,
informaciones y servicios utilizados en medios electrnicos que gestionen en el ejercicio de
sus competencias.
Pgina 3
Artculo 2. Definiciones y estndares.

A los efectos previstos en este real decreto, las definiciones, palabras, expresiones y
trminos han de ser entendidos en el sentido indicado en el Glosario de Trminos incluido en
el anexo IV.
Artculo 3. mbito de aplicacin.

El mbito de aplicacin del presente real decreto ser el establecido en el artculo 2 de la
Ley 11/2007, de 22 de junio.
Estn excluidos del mbito de aplicacin indicado en el prrafo anterior los sistemas que
tratan informacin clasificada regulada por Ley 9/1968, de 5 de abril, de Secretos Oficiales y
normas de desarrollo.
CAPTULO II
Principios bsicos
Artculo 4. Principios bsicos del Esquema Nacional de Seguridad.

El objeto ltimo de la seguridad de la informacin es asegurar que una organizacin
administrativa podr cumplir sus objetivos utilizando sistemas de informacin. En las
decisiones en materia de seguridad debern tenerse en cuenta los siguientes principios
bsicos:
a) Seguridad integral.
b) Gestin de riesgos.
c) Prevencin, reaccin y recuperacin.
d) Lneas de defensa.
e) Reevaluacin peridica.
f) Funcin diferenciada.
Artculo 5. La seguridad como un proceso integral.

1. La seguridad se entender como un proceso integral constituido por todos los
elementos tcnicos, humanos, materiales y organizativos, relacionados con el sistema. La
aplicacin del Esquema Nacional de Seguridad estar presidida por este principio, que
excluye cualquier actuacin puntual o tratamiento coyuntural.
2. Se prestar la mxima atencin a la concienciacin de las personas que intervienen
en el proceso y a sus responsables jerrquicos, para que, ni la ignorancia, ni la falta de
organizacin y coordinacin, ni instrucciones inadecuadas, sean fuentes de riesgo para la
seguridad.
Artculo 6. Gestin de la seguridad basada en los riesgos.

1. El anlisis y gestin de riesgos ser parte esencial del proceso de seguridad y deber
mantenerse permanentemente actualizado.
2. La gestin de riesgos permitir el mantenimiento de un entorno controlado,
minimizando los riesgos hasta niveles aceptables. La reduccin de estos niveles se realizar
mediante el despliegue de medidas de seguridad, que establecer un equilibrio entre la
naturaleza de los datos y los tratamientos, los riesgos a los que estn expuestos y las
medidas de seguridad.
Artculo 7. Prevencin, reaccin y recuperacin.

1. La seguridad del sistema debe contemplar los aspectos de prevencin, deteccin y
correccin, para conseguir que las amenazas sobre el mismo no se materialicen, no afecten
gravemente a la informacin que maneja, o los servicios que se prestan.
2. Las medidas de prevencin deben eliminar o, al menos reducir, la posibilidad de que
las amenazas lleguen a materializarse con perjuicio para el sistema. Estas medidas de
prevencin contemplarn, entre otras, la disuasin y la reduccin de la exposicin.
Pgina 4
3. Las medidas de deteccin estarn acompaadas de medidas de reaccin, de forma

que los incidentes de seguridad se atajen a tiempo.
4. Las medidas de recuperacin permitirn la restauracin de la informacin y los
servicios, de forma que se pueda hacer frente a las situaciones en las que un incidente de
seguridad inhabilite los medios habituales.
5. Sin merma de los dems principios bsicos y requisitos mnimos establecidos, el
sistema garantizar la conservacin de los datos e informaciones en soporte electrnico.
De igual modo, el sistema mantendr disponibles los servicios durante todo el ciclo vital
de la informacin digital, a travs de una concepcin y procedimientos que sean la base para
la preservacin del patrimonio digital.
Artculo 8. Lneas de defensa.

1. El sistema ha de disponer de una estrategia de proteccin constituida por mltiples
capas de seguridad, dispuesta de forma que, cuando una de las capas falle, permita:
a) Ganar tiempo para una reaccin adecuada frente a los incidentes que no han podido
evitarse.
b) Reducir la probabilidad de que el sistema sea comprometido en su conjunto.
c) Minimizar el impacto final sobre el mismo.
2. Las lneas de defensa han de estar constituidas por medidas de naturaleza
organizativa, fsica y lgica.
Artculo 9. Reevaluacin peridica.

Las medidas de seguridad se reevaluarn y actualizarn peridicamente, para adecuar
su eficacia a la constante evolucin de los riesgos y sistemas de proteccin, llegando incluso
a un replanteamiento de la seguridad, si fuese necesario.
Artculo 10. La seguridad como funcin diferenciada.

En los sistemas de informacin se diferenciar el responsable de la informacin, el
responsable del servicio y el responsable de la seguridad.
El responsable de la informacin determinar los requisitos de la informacin tratada; el
responsable del servicio determinar los requisitos de los servicios prestados; y el
responsable de seguridad determinar las decisiones para satisfacer los requisitos de
seguridad de la informacin y de los servicios.
La responsabilidad de la seguridad de los sistemas de informacin estar diferenciada
de la responsabilidad sobre la prestacin de los servicios.
La poltica de seguridad de la organizacin detallar las atribuciones de cada
responsable y los mecanismos de coordinacin y resolucin de conflictos.
CAPTULO III
Requisitos mnimos
Artculo 11. Requisitos mnimos de seguridad.

1.Todos los rganos superiores de las Administraciones pblicas debern disponer
formalmente de su poltica de seguridad que articule la gestin continuada de la seguridad,
que ser aprobada por el titular del rgano superior correspondiente. Esta poltica de
seguridad, se establecer de acuerdo con los principios bsicos indicados y se desarrollar
aplicando los siguientes requisitos mnimos:
a) Organizacin e implantacin del proceso de seguridad.
b) Anlisis y gestin de los riesgos.
c) Gestin de personal.
d) Profesionalidad.
e) Autorizacin y control de los accesos.
f) Proteccin de las instalaciones.
g) Adquisicin de productos.
Pgina 5
h) Seguridad por defecto.

i) Integridad y actualizacin del sistema.
j) Proteccin de la informacin almacenada y en trnsito.
k) Prevencin ante otros sistemas de informacin interconectados.
l) Registro de actividad.
m) Incidentes de seguridad.
n) Continuidad de la actividad.
o) Mejora continua del proceso de seguridad.
2. A los efectos indicados en el apartado anterior, se considerarn rganos superiores,
los responsables directos de la ejecucin de la accin del gobierno, central, autonmico o
local, en un sector de actividad especfico, de acuerdo con lo establecido en la Ley 6/1997,
de 14 de abril, de organizacin y funcionamiento de la Administracin General del Estado y
Ley 50/1997, de 27 de noviembre, del Gobierno; los estatutos de autonoma
correspondientes y normas de desarrollo; y la Ley 7/1985, de 2 de abril, reguladora de las
bases del Rgimen Local, respectivamente.
Los municipios podrn disponer de una poltica de seguridad comn elaborada por la
Diputacin, Cabildo, Consejo Insular u rgano unipersonal correspondiente de aquellas otras
corporaciones de carcter representativo a las que corresponda el gobierno y la
administracin autnoma de la provincia o, en su caso, a la entidad comarcal
correspondiente a la que pertenezcan.
3. Todos estos requisitos mnimos se exigirn en proporcin a los riesgos identificados
en cada sistema, pudiendo algunos no requerirse en sistemas sin riesgos significativos, y se
cumplirn de acuerdo con lo establecido en el artculo 27.
Artculo 12. Organizacin e implantacin del proceso de seguridad.

La seguridad deber comprometer a todos los miembros de la organizacin. La poltica
de seguridad segn se detalla en el anexo II, seccin 3.1, deber identificar unos claros
responsables de velar por su cumplimiento y ser conocida por todos los miembros de la
organizacin administrativa.
Artculo 13. Anlisis y gestin de los riesgos.

1. Cada organizacin que desarrolle e implante sistemas para el tratamiento de la
informacin y las comunicaciones realizar su propia gestin de riesgos.
2. Esta gestin se realizar por medio del anlisis y tratamiento de los riesgos a los que
est expuesto el sistema. Sin perjuicio de lo dispuesto en el anexo II, se emplear alguna
metodologa reconocida internacionalmente.
3. Las medidas adoptadas para mitigar o suprimir los riesgos debern estar justificadas
y, en todo caso, existir una proporcionalidad entre ellas y los riesgos.
Artculo 14. Gestin de personal.

1. Todo el personal relacionado con la informacin y los sistemas deber ser formado e
informado de sus deberes y obligaciones en materia de seguridad. Sus actuaciones deben
ser supervisadas para verificar que se siguen los procedimientos establecidos.
2. El personal relacionado con la informacin y los sistemas, ejercitar y aplicar los
principios de seguridad en el desempeo de su cometido.
3. El significado y alcance del uso seguro del sistema se concretar y plasmar en unas
normas de seguridad.
4. Para corregir, o exigir responsabilidades en su caso, cada usuario que acceda a la
informacin del sistema debe estar identificado de forma nica, de modo que se sepa, en
todo momento, quin recibe derechos de acceso, de qu tipo son stos, y quin ha realizado
determinada actividad.
Artculo 15. Profesionalidad.

1. La seguridad de los sistemas estar atendida, revisada y auditada por personal
cualificado, dedicado e instruido en todas las fases de su ciclo de vida: instalacin,
mantenimiento, gestin de incidencias y desmantelamiento.
Pgina 6
2. El personal de las Administraciones pblicas recibir la formacin especfica necesaria

para garantizar la seguridad de las tecnologas de la informacin aplicables a los sistemas y
servicios de la Administracin.
3. Las Administraciones pblicas exigirn, de manera objetiva y no discriminatoria, que
las organizaciones que les presten servicios de seguridad cuenten con profesionales
cualificados y con unos niveles idneos de gestin y madurez en los servicios prestados.
Artculo 16. Autorizacin y control de los accesos.

El acceso al sistema de informacin deber ser controlado y limitado a los usuarios,
procesos, dispositivos y otros sistemas de informacin, debidamente autorizados,
restringiendo el acceso a las funciones permitidas.
Artculo 17. Proteccin de las instalaciones.

Los sistemas se instalarn en reas separadas, dotadas de un procedimiento de control
de acceso. Como mnimo, las salas deben estar cerradas y disponer de un control de llaves.
Artculo 18. Adquisicin de productos de seguridad y contratacin de servicios de

seguridad.
1. En la adquisicin de productos de seguridad de las tecnologas de la informacin y
comunicaciones que vayan a ser empleados por las Administraciones pblicas se utilizarn,
de forma proporcionada a la categora del sistema y nivel de seguridad determinados,
aquellos que tengan certificada la funcionalidad de seguridad relacionada con el objeto de su
adquisicin, salvo en aquellos casos en que las exigencias de proporcionalidad en cuanto a
los riesgos asumidos no lo justifiquen a juicio del responsable de Seguridad.
2. La certificacin indicada en el apartado anterior deber estar de acuerdo con las
normas y estndares de mayor reconocimiento internacional, en el mbito de la seguridad
funcional.
3. El Organismo de Certificacin del Esquema Nacional de Evaluacin y Certificacin de
Seguridad de las Tecnologas de la Informacin, constituido al amparo de lo dispuesto en el
artculo 2.2.c) del Real Decreto 421/2004, de 12 de marzo, y regulado por la orden PRE/
2740/2007, de 19 de septiembre, dentro de sus competencias, determinar el criterio a
cumplir en funcin del uso previsto del producto a que se refiera, en relacin con el nivel de
evaluacin, otras certificaciones de seguridad adicionales que se requieran normativamente,
as como, excepcionalmente, en los casos en que no existan productos certificados. El
proceso indicado, se efectuar teniendo en cuenta los criterios y metodologas de
evaluacin, determinados por las normas internacionales que recoge la orden ministerial
citada.
4. Para la contratacin de servicios de seguridad se estar a lo dispuesto en los
apartados anteriores y en el artculo 15.
Artculo 19. Seguridad por defecto.

Los sistemas deben disearse y configurarse de forma que garanticen la seguridad por
defecto:
a) El sistema proporcionar la mnima funcionalidad requerida para que la organizacin
alcance sus objetivos.
b) Las funciones de operacin, administracin y registro de actividad sern las mnimas
necesarias, y se asegurar que slo son accesibles por las personas, o desde
emplazamientos o equipos, autorizados, pudiendo exigirse en su caso restricciones de
horario y puntos de acceso facultados.
c) En un sistema de explotacin se eliminarn o desactivarn, mediante el control de la
configuracin, las funciones que no sean de inters, sean innecesarias e, incluso, aquellas
que sean inadecuadas al fin que se persigue.
d) El uso ordinario del sistema ha de ser sencillo y seguro, de forma que una utilizacin
insegura requiera de un acto consciente por parte del usuario.
Pgina 7
Artculo 20. Integridad y actualizacin del sistema.

1. Todo elemento fsico o lgico requerir autorizacin formal previa a su instalacin en
el sistema.
2. Se deber conocer en todo momento el estado de seguridad de los sistemas, en
relacin a las especificaciones de los fabricantes, a las vulnerabilidades y a las
actualizaciones que les afecten, reaccionando con diligencia para gestionar el riesgo a la
vista del estado de seguridad de los mismos.
Artculo 21. Proteccin de informacin almacenada y en trnsito.

1. En la estructura y organizacin de la seguridad del sistema, se prestar especial
atencin a la informacin almacenada o en trnsito a travs de entornos inseguros. Tendrn
la consideracin de entornos inseguros los equipos porttiles, asistentes personales (PDA),
dispositivos perifricos, soportes de informacin y comunicaciones sobre redes abiertas o
con cifrado dbil.
2. Forman parte de la seguridad los procedimientos que aseguren la recuperacin y
conservacin a largo plazo de los documentos electrnicos producidos por las
Administraciones pblicas en el mbito de sus competencias.
3. Toda informacin en soporte no electrnico, que haya sido causa o consecuencia
directa de la informacin electrnica a la que se refiere el presente real decreto, deber estar
protegida con el mismo grado de seguridad que sta. Para ello se aplicarn las medidas que
correspondan a la naturaleza del soporte en que se encuentren, de conformidad con las
normas de aplicacin a la seguridad de los mismos.
Artculo 22. Prevencin ante otros sistemas de informacin interconectados.

El sistema ha de proteger el permetro, en particular, si se conecta a redes pblicas. Se
entender por red pblica de comunicaciones la red de comunicaciones electrnicas que se
utiliza, en su totalidad o principalmente, para la prestacin de servicios de comunicaciones
electrnicas disponibles para el pblico, de conformidad a la definicin establecida en el
apartado 26 del anexo II, de la Ley 32/2003, de 3 de noviembre, General de
Telecomunicaciones. En todo caso se analizarn los riesgos derivados de la interconexin
del sistema, a travs de redes, con otros sistemas, y se controlar su punto de unin.
Artculo 23. Registro de actividad.

Con la finalidad exclusiva de lograr el cumplimiento del objeto del presente real decreto,
con plenas garantas del derecho al honor, a la intimidad personal y familiar y a la propia
imagen de los afectados, y de acuerdo con la normativa sobre proteccin de datos
personales, de funcin pblica o laboral, y dems disposiciones que resulten de aplicacin,
se registrarn las actividades de los usuarios, reteniendo la informacin necesaria para
monitorizar, analizar, investigar y documentar actividades indebidas o no autorizadas,
permitiendo identificar en cada momento a la persona que acta.
Artculo 24. Incidentes de seguridad.

1. Se establecer un sistema de deteccin y reaccin frente a cdigo daino.
2. Se dispondr de procedimientos de gestin de incidentes de seguridad y de
debilidades detectadas en los elementos del sistema de informacin. Estos procedimientos
cubrirn los mecanismos de deteccin, los criterios de clasificacin, los procedimientos de
anlisis y resolucin, as como los cauces de comunicacin a las partes interesadas y el
registro de las actuaciones. Este registro se emplear para la mejora continua de la
seguridad del sistema.
Artculo 25. Continuidad de la actividad.

Los sistemas dispondrn de copias de seguridad y establecern los mecanismos
necesarios para garantizar la continuidad de las operaciones, en caso de prdida de los
medios habituales de trabajo.
Pgina 8
Artculo 26. Mejora continua del proceso de seguridad.

El proceso integral de seguridad implantado deber ser actualizado y mejorado de forma
continua. Para ello, se aplicarn los criterios y mtodos reconocidos en la prctica nacional e
internacional relativos a gestin de las tecnologas de la informacin.
Artculo 27. Cumplimiento de requisitos mnimos.

1. Para dar cumplimiento a los requisitos mnimos establecidos en el presente real
decreto, las Administraciones pblicas aplicarn las medidas de seguridad indicadas en el
Anexo II, teniendo en cuenta:
a) Los activos que constituyen el sistema.
b) La categora del sistema, segn lo previsto en el artculo 43.
c) Las decisiones que se adopten para gestionar los riesgos identificados.
2. Cuando un sistema al que afecte el presente real decreto maneje datos de carcter
personal le ser de aplicacin lo dispuesto en la Ley Orgnica 15/1999, de 13 de diciembre,
y normativa de desarrollo, sin perjuicio de los requisitos establecidos en el Esquema
Nacional de Seguridad.
3. Los medidas a las que se refieren los apartados 1 y 2 tendrn la condicin de mnimos
exigibles, y podrn ser ampliados por causa de la concurrencia indicada o del prudente
arbitrio del responsable de la seguridad del sistema, habida cuenta del estado de la
tecnologa, la naturaleza de los servicios prestados y la informacin manejada, y los riesgos
a que estn expuestos.
4. La relacin de medidas seleccionadas del Anexo II se formalizar en un documento
denominado Declaracin de Aplicabilidad, firmado por el responsable de seguridad.
5. Las medidas de seguridad referenciadas en el Anexo II podrn ser reemplazadas por
otras compensatorias siempre y cuando se justifique documentalmente que protegen igual o
mejor el riesgo sobre los activos (Anexo I) y se satisfacen los principios bsicos y los
requisitos mnimos previstos en los captulos II y III del real decreto. Como parte integral de
la Declaracin de Aplicabilidad se indicar de forma detallada la correspondencia entre las
medidas compensatorias implantadas y las medidas del Anexo II que compensan y el
conjunto ser objeto de la aprobacin formal por parte del responsable de seguridad.
Artculo 28. Infraestructuras y servicios comunes.

La utilizacin de infraestructuras y servicios comunes reconocidos en las
Administraciones Pblicas facilitar el cumplimiento de los principios bsicos y los requisitos
mnimos exigidos en el presente real decreto en condiciones de mejor eficiencia. Los
supuestos concretos de utilizacin de estas infraestructuras y servicios comunes sern
determinados por cada Administracin.
Artculo 29. Instrucciones tcnicas de seguridad y guas de seguridad.

1. Para el mejor cumplimiento de lo establecido en el Esquema Nacional de Seguridad,
el Centro Criptolgico Nacional, en el ejercicio de sus competencias, elaborar y difundir las
correspondientes guas de seguridad de las tecnologas de la informacin y las
comunicaciones.
2. El Ministerio de Hacienda y Administraciones Pblicas, a propuesta del Comit
Sectorial de Administracin Electrnica previsto en el artculo 40 de la Ley 11/2007, de 22 de
junio, y a iniciativa del Centro Criptolgico Nacional, aprobar las instrucciones tcnicas de
seguridad de obligado cumplimiento y se publicarn mediante resolucin de la Secretara de
Estado de Administraciones Pblicas. Para la redaccin y mantenimiento de las
instrucciones tcnicas de seguridad se constituirn los correspondientes grupos de trabajo
en los rganos colegiados con competencias en materia de administracin electrnica.
3. Las instrucciones tcnicas de seguridad tendrn en cuenta las normas armonizadas a
nivel europeo que resulten de aplicacin.
Pgina 9
Artculo 30. Sistemas de informacin no afectados.

Las Administraciones pblicas podrn determinar aquellos sistemas de informacin a los
que no les sea de aplicacin lo dispuesto en el presente de real decreto por tratarse de
sistemas no relacionados con el ejercicio de derechos ni con el cumplimiento de deberes por
medios electrnicos ni con el acceso por medios electrnicos de los ciudadanos a la
informacin y al procedimiento administrativo, de acuerdo con lo previsto en la Ley 11/2007,
de 22 de junio.
CAPTULO IV
Comunicaciones electrnicas
Artculo 31. Condiciones tcnicas de seguridad de las comunicaciones electrnicas.

1. Las condiciones tcnicas de seguridad de las comunicaciones electrnicas en lo
relativo a la constancia de la transmisin y recepcin, de sus fechas, del contenido integro de
las comunicaciones y la identificacin fidedigna del remitente y destinatario de las mismas,
segn lo establecido en la Ley 11/2007, de 22 de junio, sern implementadas de acuerdo
con lo establecido en el Esquema Nacional de Seguridad.
2. Las comunicaciones realizadas en los trminos indicados en el apartado anterior,
tendrn el valor y la eficacia jurdica que corresponda a su respectiva naturaleza, de
conformidad con la legislacin que resulte de aplicacin.
Artculo 32. Requerimientos tcnicos de notificaciones y publicaciones electrnicas.

1. Las notificaciones y publicaciones electrnicas de resoluciones y actos administrativos
se realizarn de forma que cumplan, de acuerdo con lo establecido en el presente real
decreto, las siguientes exigencias tcnicas:
a) Aseguren la autenticidad del organismo que lo publique.
b) Aseguren la integridad de la informacin publicada.
c) Dejen constancia de la fecha y hora de la puesta a disposicin del interesado de la
resolucin o acto objeto de publicacin o notificacin, as como del acceso a su contenido.
d) Aseguren la autenticidad del destinatario de la publicacin o notificacin.
Artculo 33. Firma electrnica.

1. Los mecanismos de firma electrnica se aplicarn en los trminos indicados en el
Anexo II de esta norma y de acuerdo con lo preceptuado en la poltica de firma electrnica y
de certificados, segn se establece en el Esquema Nacional de Interoperabilidad.
2. La poltica de firma electrnica y de certificados concretar los procesos de
generacin, validacin y conservacin de firmas electrnicas, as como las caractersticas y
requisitos exigibles a los sistemas de firma electrnica, los certificados, los servicios de
sellado de tiempo, y otros elementos de soporte de las firmas, sin perjuicio de lo previsto en
el Anexo II, que deber adaptarse a cada circunstancia.
CAPTULO V
Auditora de la seguridad
Artculo 34. Auditora de la seguridad.

1. Los sistemas de informacin a los que se refiere el presente real decreto sern objeto
de una auditora regular ordinaria, al menos cada dos aos, que verifique el cumplimiento de
los requerimientos del presente Esquema Nacional de Seguridad.
Con carcter extraordinario, deber realizarse dicha auditora siempre que se produzcan
modificaciones sustanciales en el sistema de informacin, que puedan repercutir en las
medidas de seguridad requeridas. La realizacin de la auditoria extraordinaria determinar la
fecha de cmputo para el clculo de los dos aos, establecidos para la realizacin de la
siguiente auditora regular ordinaria, indicados en el prrafo anterior.
Pgina 10
2. Esta auditora se realizar en funcin de la categora del sistema, determinada segn

lo dispuesto en el anexo I y de acuerdo con lo previsto en el anexo III.
3. En el marco de lo dispuesto en el artculo 39, de la ley 11/2007, de 22 de junio, la
auditora profundizar en los detalles del sistema hasta el nivel que considere que
proporciona evidencia suficiente y relevante, dentro del alcance establecido para la auditora.
4. En la realizacin de esta auditora se utilizarn los criterios, mtodos de trabajo y de
conducta generalmente reconocidos, as como la normalizacin nacional e internacional
aplicables a este tipo de auditoras de sistemas de informacin.
5. El informe de auditora deber dictaminar sobre el grado de cumplimiento del presente
real decreto, identificar sus deficiencias y sugerir las posibles medidas correctoras o
complementarias necesarias, as como las recomendaciones que se consideren oportunas.
Deber, igualmente, incluir los criterios metodolgicos de auditora utilizados, el alcance y el
objetivo de la auditora, y los datos, hechos y observaciones en que se basen las
conclusiones formuladas.
6. Los informes de auditora sern presentados al responsable del sistema y al
responsable de seguridad competentes. Estos informes sern analizados por este ltimo que
presentar sus conclusiones al responsable del sistema para que adopte las medidas
correctoras adecuadas.
7. En el caso de los sistemas de categora ALTA, visto el dictamen de auditora, el
responsable del sistema podr acordar la retirada de operacin de alguna informacin, de
algn servicio o del sistema en su totalidad, durante el tiempo que estime prudente y hasta la
satisfaccin de las modificaciones prescritas.
8. Los informes de auditora podrn ser requeridos por los responsables de cada
organizacin con competencias sobre seguridad de las tecnologas de la informacin.
CAPITULO VI
Estado de seguridad de los sistemas
Artculo 35. Informe del estado de la seguridad.

El Comit Sectorial de Administracin Electrnica recoger la informacin relacionada
con el estado de las principales variables de la seguridad en los sistemas de informacin a
los que se refiere el presente Real Decreto, de forma que permita elaborar un perfil general
del estado de la seguridad en las Administraciones pblicas.
El Centro Criptolgico Nacional articular los procedimientos necesarios para la recogida
y consolidacin de la informacin, as como los aspectos metodolgicos para su tratamiento
y explotacin, a travs de los correspondientes grupos de trabajo que se constituyan al
efecto en el Comit Sectorial de Administracin Electrnica y en la Comisin de Estrategia
TIC para la Administracin General del Estado.
CAPTULO VII
Respuesta a incidentes de seguridad
Artculo 36. Capacidad de respuesta a incidentes de seguridad de la informacin.

El Centro Criptolgico Nacional (CCN) articular la respuesta a los incidentes de
seguridad en torno a la estructura denominada CCN-CERT (Centro Criptolgico Nacional-
Computer Emergency Reaction Team), que actuar sin perjuicio de las capacidades de
respuesta a incidentes de seguridad que pueda tener cada administracin pblica y de la
funcin de coordinacin a nivel nacional e internacional del CCN.
Las Administraciones Pblicas notificarn al Centro Criptolgico Nacional aquellos
incidentes que tengan un impacto significativo en la seguridad de la informacin manejada y
de los servicios prestados en relacin con la categorizacin de sistemas recogida en el
Anexo I del presente real decreto.
Pgina 11
Artculo 37. Prestacin de servicios de respuesta a incidentes de seguridad a las

Administraciones pblicas.
1. De acuerdo con lo previsto en el artculo 36, el CCN-CERT prestar a las
Administraciones pblicas los siguientes servicios:
a) Soporte y coordinacin para el tratamiento de vulnerabilidades y la resolucin de
incidentes de seguridad que tengan la Administracin General del Estado, las
Administraciones de las comunidades autnomas, las entidades que integran la
Administracin Local y las Entidades de Derecho pblico con personalidad jurdica propia
vinculadas o dependientes de cualquiera de las administraciones indicadas.
El CCN-CERT, a travs de su servicio de apoyo tcnico y de coordinacin, actuar con
la mxima celeridad ante cualquier agresin recibida en los sistemas de informacin de las
Administraciones pblicas.
Para el cumplimiento de los fines indicados en los prrafos anteriores se podrn recabar
informes de auditora de los sistemas afectados, registros de auditora, configuraciones y
cualquier otra informacin que se considere relevante, as como los soportes informticos
que se estimen necesarios para la investigacin del incidente de los sistemas afectados, sin
perjuicio de lo dispuesto en la Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de
Datos de carcter personal, y su normativa de desarrollo, as como de la posible
confidencialidad de datos de carcter institucional u organizativo.
b) Investigacin y divulgacin de las mejores prcticas sobre seguridad de la informacin
entre todos los miembros de las Administraciones pblicas. Con esta finalidad, las series de
documentos CCN-STIC (Centro Criptolgico Nacional-Seguridad de las Tecnologas de
Informacin y Comunicaciones), elaboradas por el Centro Criptolgico Nacional, ofrecern
normas, instrucciones, guas y recomendaciones para aplicar el Esquema Nacional de
Seguridad y para garantizar la seguridad de los sistemas de tecnologas de la informacin en
la Administracin.
c) Formacin destinada al personal de la Administracin especialista en el campo de la
seguridad de las tecnologas de la informacin, al objeto de facilitar la actualizacin de
conocimientos del personal de la Administracin y de lograr la sensibilizacin y mejora de
sus capacidades para la deteccin y gestin de incidentes.
d) Informacin sobre vulnerabilidades, alertas y avisos de nuevas amenazas a los
sistemas de informacin, recopiladas de diversas fuentes de reconocido prestigio, incluidas
las propias.
2. El CCN desarrollar un programa que ofrezca la informacin, formacin,
recomendaciones y herramientas necesarias para que las Administraciones pblicas puedan
desarrollar sus propias capacidades de respuesta a incidentes de seguridad, y en el que,
aqul, ser coordinador a nivel pblico estatal.
CAPTULO VIII
Normas de conformidad
Artculo 38. Sedes y registros electrnicos.

La seguridad de las sedes y registros electrnicos, as como la del acceso electrnico de
los ciudadanos a los servicios pblicos, se regirn por lo establecido en el Esquema
Artculo 39. Ciclo de vida de servicios y sistemas.

Las especificaciones de seguridad se incluirn en el ciclo de vida de los servicios y
sistemas, acompaadas de los correspondientes procedimientos de control.
Artculo 40. Mecanismos de control.

Cada rgano de la Administracin pblica o Entidad de Derecho Pblico establecer sus
mecanismos de control para garantizar de forma real y efectiva el cumplimiento del Esquema
Pgina 12
Artculo 41. Publicacin de conformidad.

Los rganos y Entidades de Derecho Pblico darn publicidad en las correspondientes
sedes electrnicas a las declaraciones de conformidad, y a los distintivos de seguridad de
los que sean acreedores, obtenidos respecto al cumplimiento del Esquema Nacional de
Seguridad.
CAPTULO IX
Actualizacin
Artculo 42. Actualizacin permanente.

El Esquema Nacional de Seguridad se deber mantener actualizado de manera
permanente. Se desarrollar y perfeccionar a lo largo del tiempo, en paralelo al progreso de
los servicios de Administracin electrnica, de la evolucin tecnolgica y nuevos estndares
internacionales sobre seguridad y auditora en los sistemas y tecnologas de la informacin y
a medida que vayan consolidndose las infraestructuras que le apoyan.
CAPTULO X
Categorizacin de los sistemas de informacin
Artculo 43. Categoras.

1. La categora de un sistema de informacin, en materia de seguridad, modular el
equilibrio entre la importancia de la informacin que maneja, los servicios que presta y el
esfuerzo de seguridad requerido, en funcin de los riesgos a los que est expuesto, bajo el
criterio del principio de proporcionalidad.
2. La determinacin de la categora indicada en el apartado anterior se efectuar en
funcin de la valoracin del impacto que tendra un incidente que afectara a la seguridad de
la informacin o de los servicios con perjuicio para la disponibilidad, autenticidad, integridad,
confidencialidad o trazabilidad, como dimensiones de seguridad, siguiendo el procedimiento
establecido en el Anexo I.
3. La valoracin de las consecuencias de un impacto negativo sobre la seguridad de la
informacin y de los servicios se efectuar atendiendo a su repercusin en la capacidad de
la organizacin para el logro de sus objetivos, la proteccin de sus activos, el cumplimiento
de sus obligaciones de servicio, el respeto de la legalidad y los derechos de los ciudadanos.
Artculo 44. Facultades.

1. La facultad para efectuar las valoraciones a las que se refiere el artculo 43, as como
la modificacin posterior, en su caso, corresponder, dentro del mbito de su actividad, al
responsable de cada informacin o servicio.
2. La facultad para determinar la categora del sistema corresponder al responsable del
mismo.
Disposicin adicional primera. Formacin.

El personal de las Administraciones pblicas recibir, de acuerdo con lo previsto en la
disposicin adicional segunda de la Ley 11/2007, de 22 de junio, la formacin necesaria para
garantizar el conocimiento del presente Esquema Nacional de Seguridad, a cuyo fin los
rganos responsables dispondrn lo necesario para que la formacin sea una realidad
efectiva.
Disposicin adicional segunda. Comit de Seguridad de la Informacin de las

Administraciones Pblicas.
El Comit de Seguridad de la Informacin de las Administraciones Pblicas, dependiente
del Comit Sectorial de Administracin electrnica, contar con un representante de cada
una de las entidades presentes en dicho Comit Sectorial. Tendr funciones de cooperacin
en materias comunes relacionadas con la adecuacin e implantacin de lo previsto en el
Pgina 13
Esquema Nacional de Seguridad y en las normas, instrucciones, guas y recomendaciones

dictadas para su aplicacin.
Disposicin adicional tercera. Modificacin del Reglamento de desarrollo de la Ley

Orgnica 15/1999, de Proteccin de Datos de Carcter Personal, aprobado por el Real
Decreto 1720/2007, de 21 de diciembre.
Se modifica la letra b) del apartado 5 del artculo 81 del Reglamento de desarrollo de la
Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter Personal
aprobado por Real Decreto 1720/2007, de 21 de diciembre, que pasa a tener la siguiente
redaccin:
b) Se trate de ficheros o tratamientos en los que de forma incidental o accesoria se
contengan aquellos datos sin guardar relacin con su finalidad.
Disposicin adicional cuarta. Desarrollo del Esquema Nacional de Seguridad.

1. Sin perjuicio de las propuestas que pueda acordar el Comit Sectorial de
Administracin Electrnica segn lo establecido en el artculo 29, apartado 2, se
desarrollarn las siguientes instrucciones tcnicas de seguridad que sern de obligado
cumplimiento por parte de las Administraciones pblicas:
a) Informe del estado de la seguridad.
b) Notificacin de incidentes de seguridad.
c) Auditora de la seguridad.
d) Conformidad con el Esquema Nacional de Seguridad.
e) Adquisicin de productos de seguridad.
f) Criptologa de empleo en el Esquema Nacional de Seguridad.
g) Interconexin en el Esquema Nacional de Seguridad.
h) Requisitos de seguridad en entornos externalizados.
2. La aprobacin de estas instrucciones se realizar de acuerdo con el procedimiento
establecido en el citado artculo 29 apartados 2 y 3.
Disposicin transitoria. Adecuacin de sistemas.

1. Los sistemas existentes a la entrada en vigor del presente real decreto se adecuarn
al Esquema Nacional de Seguridad de forma que permitan el cumplimiento de lo establecido
en la disposicin final tercera de la Ley 11/2007, de 22 de junio. Los nuevos sistemas
aplicarn lo establecido en el presente real decreto desde su concepcin.
2. Si a los doce meses de la entrada en vigor del Esquema Nacional de Seguridad
hubiera circunstancias que impidan la plena aplicacin de lo exigido en el mismo, se
dispondr de un plan de adecuacin que marque los plazos de ejecucin los cuales, en
ningn caso, sern superiores a 48 meses desde la entrada en vigor.
El plan indicado en el prrafo anterior ser elaborado con la antelacin suficiente y
aprobado por los rganos superiores competentes.
3. Mientras no se haya aprobado una poltica de seguridad por el rgano superior
competente sern de aplicacin las polticas de seguridad que puedan existir a nivel de
rgano directivo.
Disposicin derogatoria nica.

Quedan derogadas las disposiciones de igual o inferior rango que se opongan a lo
dispuesto en el presente reglamento.
Disposicin final primera. Ttulo habilitante.

El presente real decreto se dicta en virtud de lo establecido en el artculo 149.1.18. de la
Constitucin, que atribuye al Estado la competencia sobre las bases del rgimen jurdico de
las Administraciones pblicas.
Pgina 14
Disposicin final segunda. Desarrollo normativo.

Se autoriza al titular del Ministerio de la Presidencia, para dictar las disposiciones
necesarias para la aplicacin y desarrollo de lo establecido en el presente real decreto, sin
perjuicio de las competencias de las comunidades autnomas de desarrollo y ejecucin de la
legislacin bsica del Estado.
Disposicin final tercera. Entrada en vigor.

El presente real decreto entrar en vigor el da siguiente al de su publicacin en el
Boletn Oficial del Estado.
Dado en Madrid, el 8 de enero de 2010.
JUAN CARLOS R.
La Vicepresidenta Primera del Gobierno y Ministra de la Presidencia,
MARA TERESA FERNNDEZ DE LA VEGA SANZ
ANEXOS
ANEXO I
Categoras de los sistemas
1. Fundamentos para la determinacin de la categora de un sistema.
La determinacin de la categora de un sistema se basa en la valoracin del impacto que
tendra sobre la organizacin un incidente que afectara a la seguridad de la informacin o de
los sistemas, con repercusin en la capacidad organizativa para:
a) Alcanzar sus objetivos.
b) Proteger los activos a su cargo.
c) Cumplir sus obligaciones diarias de servicio.
d) Respetar la legalidad vigente.
e) Respetar los derechos de las personas.
La determinacin de la categora de un sistema se realizar de acuerdo con lo
establecido en el presente real decreto, y ser de aplicacin a todos los sistemas empleados
para la prestacin de los servicios de la Administracin electrnica y soporte del
procedimiento administrativo general.
2. Dimensiones de la seguridad.
A fin de poder determinar el impacto que tendra sobre la organizacin un incidente que
afectara a la seguridad de la informacin o de los sistemas, y de poder establecer la
categora del sistema, se tendrn en cuenta las siguientes dimensiones de la seguridad, que
sern identificadas por sus correspondientes iniciales en maysculas:
a) Disponibilidad [D].
b) Autenticidad [A].
c) Integridad [I].
d) Confidencialidad [C].
e) Trazabilidad [T].
3. Determinacin del nivel requerido en una dimensin de seguridad.
Una informacin o un servicio pueden verse afectados en una o ms de sus dimensiones
de seguridad. Cada dimensin de seguridad afectada se adscribir a uno de los siguientes
niveles: BAJO, MEDIO o ALTO. Si una dimensin de seguridad no se ve afectada, no se
adscribir a ningn nivel.
Pgina 15
a) Nivel BAJO. Se utilizar cuando las consecuencias de un incidente de seguridad que

afecte a alguna de las dimensiones de seguridad supongan un perjuicio limitado sobre las
funciones de la organizacin, sobre sus activos o sobre los individuos afectados.
Se entender por perjuicio limitado:
1. La reduccin de forma apreciable de la capacidad de la organizacin para atender
eficazmente con sus obligaciones corrientes, aunque estas sigan desempendose.
2. El sufrimiento de un dao menor por los activos de la organizacin.
3. El incumplimiento formal de alguna ley o regulacin, que tenga carcter de
subsanable.
4. Causar un perjuicio menor a algn individuo, que an siendo molesto pueda ser
fcilmente reparable.
5. Otros de naturaleza anloga.
b) Nivel MEDIO. Se utilizar cuando las consecuencias de un incidente de seguridad que
afecte a alguna de las dimensiones de seguridad supongan un perjuicio grave sobre las
Se entender por perjuicio grave:
1. La reduccin significativa la capacidad de la organizacin para atender eficazmente a
sus obligaciones fundamentales, aunque estas sigan desempendose.
2. El sufrimiento de un dao significativo por los activos de la organizacin.
3. El incumplimiento material de alguna ley o regulacin, o el incumplimiento formal que
no tenga carcter de subsanable.
4. Causar un perjuicio significativo a algn individuo, de difcil reparacin.
c) Nivel ALTO. Se utilizar cuando las consecuencias de un incidente de seguridad que
afecte a alguna de las dimensiones de seguridad supongan un perjuicio muy grave sobre las
Se entender por perjuicio muy grave:
1. La anulacin de la capacidad de la organizacin para atender a alguna de sus
obligaciones fundamentales y que stas sigan desempendose.
2. El sufrimiento de un dao muy grave, e incluso irreparable, por los activos de la
organizacin.
3. El incumplimiento grave de alguna ley o regulacin.
4. Causar un perjuicio grave a algn individuo, de difcil o imposible reparacin.
Cuando un sistema maneje diferentes informaciones y preste diferentes servicios, el
nivel del sistema en cada dimensin ser el mayor de los establecidos para cada informacin
y cada servicio.
4. Determinacin de la categora de un sistema de informacin.
1. Se definen tres categoras: BSICA, MEDIA y ALTA.
a) Un sistema de informacin ser de categora ALTA si alguna de sus dimensiones de
seguridad alcanza el nivel ALTO.
b) Un sistema de informacin ser de categora MEDIA si alguna de sus dimensiones de
seguridad alcanza el nivel MEDIO, y ninguna alcanza un nivel superior.
c) Un sistema de informacin ser de categora BSICA si alguna de sus dimensiones
de seguridad alcanza el nivel BAJO, y ninguna alcanza un nivel superior.
2. La determinacin de la categora de un sistema sobre la base de lo indicado en el
apartado anterior no implicar que se altere, por este hecho, el nivel de las dimensiones de
seguridad que no han influido en la determinacin de la categora del mismo.
5. Secuencia de actuaciones para determinar la categora de un sistema:
1. Identificacin del nivel correspondiente a cada informacin y servicio, en funcin de las
dimensiones de seguridad, teniendo en cuenta lo establecido en el apartado 3.
Pgina 16
2. Determinacin de la categora del sistema, segn lo establecido en el apartado 4.
ANEXO II
Medidas de seguridad
1. Disposiciones generales
1. Para lograr el cumplimiento de los principios bsicos y requisitos mnimos
establecidos, se aplicarn las medidas de seguridad indicadas en este anexo, las cuales
sern proporcionales a:
a) Las dimensiones de seguridad relevantes en el sistema a proteger.
b) La categora del sistema de informacin a proteger.
2. Las medidas de seguridad se dividen en tres grupos:
a) Marco organizativo [org]. Constituido por el conjunto de medidas relacionadas con la
organizacin global de la seguridad.
b) Marco operacional [op]. Formado por las medidas a tomar para proteger la operacin
del sistema como conjunto integral de componentes para un fin.
c) Medidas de proteccin [mp]. Se centran en proteger activos concretos, segn su
naturaleza y la calidad exigida por el nivel de seguridad de las dimensiones afectadas.
2. Seleccin de medidas de seguridad

1. Para la seleccin de las medidas de seguridad se seguirn los pasos siguientes:
a) Identificacin de los tipos de activos presentes.
b) Determinacin de las dimensiones de seguridad relevantes, teniendo en cuenta lo
establecido en el anexo I.
c) Determinacin del nivel correspondiente a cada dimensin de seguridad, teniendo en
cuenta lo establecido en el anexo I.
d) Determinacin de la categora del sistema, segn lo establecido en el Anexo I.
e) Seleccin de las medidas de seguridad apropiadas de entre las contenidas en este
Anexo, de acuerdo con las dimensiones de seguridad y sus niveles, y, para determinadas
medidas de seguridad, de acuerdo con la categora del sistema.
2. A los efectos de facilitar el cumplimiento de lo dispuesto en este anexo, cuando en un
sistema de informacin existan sistemas que requieran la aplicacin de un nivel de medidas
de seguridad diferente al del sistema principal, podrn segregarse de este ltimo, siendo de
aplicacin en cada caso el nivel de medidas de seguridad correspondiente y siempre que
puedan delimitarse la informacin y los servicios afectados.
3. La relacin de medidas seleccionadas se formalizar en un documento denominado
Declaracin de Aplicabilidad, firmado por el responsable de la seguridad del sistema.
4. La correspondencia entre los niveles de seguridad exigidos en cada dimensin y las
medidas de seguridad, es la que se indica en la tabla siguiente:
Dimensiones
Afectadas B M A
org Marco organizativo

categora aplica = = org.1 Poltica de seguridad
categora aplica = = org.2 Normativa de seguridad
categora aplica = = org.3 Procedimientos de seguridad
categora aplica = = org.4 Proceso de autorizacin
op Marco operacional
op.pl Planificacin
categora aplica + ++ op.pl.1 Anlisis de riesgos
Pgina 17
Dimensiones
Afectadas B M A
categora aplica + ++ op.pl.2 Arquitectura de seguridad
categora aplica = = op.pl.3 Adquisicin de nuevos componentes
D n.a. aplica = op.pl.4 Dimensionamiento/Gestin de capacidades
categora n.a. n.a. aplica op.pl.5 Componentes certificados
op.acc Control de acceso
AT aplica = = op.acc.1 Identificacin
ICAT aplica = = op.acc.2 Requisitos de acceso
ICAT n.a. aplica = op.acc.3 Segregacin de funciones y tareas
ICAT aplica = = op.acc.4 Proceso de gestin de derechos de acceso
ICAT aplica + ++ op.acc.5 Mecanismo de autenticacin
ICAT aplica + ++ op.acc.6 Acceso local (local logon)
ICAT aplica + = op.acc.7 Acceso remoto (remote login)
op.exp Explotacin
categora aplica = = op.exp.1 Inventario de activos
categora aplica = = op.exp.2 Configuracin de seguridad
categora n.a. aplica = op.exp.3 Gestin de la configuracin
categora aplica = = op.exp.4 Mantenimiento
categora n.a. aplica = op.exp.5 Gestin de cambios
categora aplica = = op.exp.6 Proteccin frente a cdigo daino
categora n.a. aplica = op.exp.7 Gestin de incidentes
T aplica + ++ op.exp.8 Registro de la actividad de los usuarios
categora n.a. aplica = op.exp.9 Registro de la gestin de incidentes
T n.a. n.a. aplica op.exp.10 Proteccin de los registros de actividad
categora aplica + = op.exp.11 Proteccin de claves criptogrficas
op.ext Servicios externos
categora n.a. aplica = op.ext.1 Contratacin y acuerdos de nivel de servicio
categora n.a. aplica = op.ext.2 Gestin diaria
D n.a. n.a. aplica op.ext.9 Medios alternativos
op.cont Continuidad del servicio
D n.a. aplica = op.cont.1 Anlisis de impacto
D n.a. n.a. aplica op.cont.2 Plan de continuidad
D n.a. n.a. aplica op.cont.3 Pruebas peridicas
op.mon Monitorizacin del sistema
categora n.a. aplica = op.mon.1 Deteccin de intrusin
categora n.a. n.a. aplica op.mon.2 Sistema de mtricas
mp Medidas de proteccin
mp.if Proteccin de las instalaciones e infraestructuras
categora aplica = = mp.if.1 reas separadas y con control de acceso
categora aplica = = mp.if.2 Identificacin de las personas
categora aplica = = mp.if.3 Acondicionamiento de los locales
D aplica + = mp.if.4 Energa elctrica
D aplica = = mp.if.5 Proteccin frente a incendios
D n.a. aplica = mp.if.6 Proteccin frente a inundaciones
categora aplica = = mp.if.7 Registro de entrada y salida de equipamiento
D n.a. n.a. aplica mp.if.9 Instalaciones alternativas
mp.per Gestin del personal
categora n.a. aplica = mp.per.1 Caracterizacin del puesto de trabajo
categora aplica = = mp.per.2 Deberes y obligaciones
categora aplica = = mp.per.3 Concienciacin
categora aplica = = mp.per.4 Formacin
D n.a. n.a. aplica mp.per.9 Personal alternativo
mp.eq Proteccin de los equipos
categora aplica + = mp.eq.1 Puesto de trabajo despejado
A n.a. aplica + mp.eq.2 Bloqueo de puesto de trabajo
categora aplica = + mp.eq.3 Proteccin de equipos porttiles
D n.a. aplica = mp.eq.9 Medios alternativos
mp.com Proteccin de las comunicaciones
categora aplica = + mp.com.1 Permetro seguro
C n.a. aplica + mp.com.2 Proteccin de la confidencialidad
IA aplica + ++ mp.com.3 Proteccin de la autenticidad y de la integridad
categora n.a. n.a. aplica mp.com.4 Segregacin de redes
D n.a. n.a. aplica mp.com.9 Medios alternativos
mp.si Proteccin de los soportes de informacin
C aplica = = mp.si.1 Etiquetado
IC n.a. aplica + mp.si.2 Criptografa
categora aplica = = mp.si.3 Custodia
categora aplica = = mp.si.4 Transporte
C aplica + = mp.si.5 Borrado y destruccin
mp.sw Proteccin de las aplicaciones informticas
categora n.a. aplica = mp.sw.1 Desarrollo
categora aplica + ++ mp.sw.2 Aceptacin y puesta en servicio
mp.info Proteccin de la informacin
categora aplica = = mp.info.1 Datos de carcter personal
C aplica + = mp.info.2 Calificacin de la informacin
C n.a. n.a. aplica mp.info.3 Cifrado
IA aplica + ++ mp.info.4 Firma electrnica
Pgina 18
Dimensiones
Afectadas B M A
T n.a. n.a. aplica mp.info.5 Sellos de tiempo
C aplica = = mp.info.6 Limpieza de documentos
D aplica = = mp.info.9 Copias de seguridad (backup)
mp.s Proteccin de los servicios
categora aplica = = mp.s.1 Proteccin del correo electrnico
categora aplica = + mp.s.2 Proteccin de servicios y aplicaciones web
D n.a. aplica + mp.s.8 Proteccin frente a la denegacin de servicio
D n.a. n.a. aplica mp.s.9 Medios alternativos
En las tablas del presente Anexo se emplean las siguientes convenciones:

a) Para indicar que una determinada medida de seguridad se debe aplicar a una o varias
dimensiones de seguridad en algn nivel determinado se utiliza la voz aplica.
b) n.a. significa no aplica.
c) Para indicar que las exigencias de un nivel son iguales a los del nivel inferior se utiliza
el signo =.
d) Para indicar el incremento de exigencias graduado en funcin de del nivel de la
dimensin de seguridad, se utilizan los signos + y ++.
e) Para indicar que una medida protege especficamente una cierta dimensin de
seguridad, sta se explicita mediante su inicial.
f) En las tablas del presente anexo se han empleado colores verde, amarillo y rojo de la
siguiente forma: el color verde para indicar que una cierta medida se aplica en sistemas de
categora BSICA o superior; el amarillo para indicar las medidas que empiezan a aplicarse
en categora MEDIA o superior; el rojo para indicar las medidas que slo son de aplicacin
en categora ALTA.
3. Marco organizativo [org]

El marco organizativo est constituido por un conjunto de medidas relacionadas con la
organizacin global de la seguridad.
3.1 Poltica de seguridad [org.1].
dimensiones Todas
categora bsica media alta
aplica = =
La poltica de seguridad ser aprobada por el rgano superior competente que

corresponda, de acuerdo con lo establecido en el artculo 11, y se plasmar en un
documento escrito, en el que, de forma clara, se precise, al menos, lo siguiente:
a) Los objetivos o misin de la organizacin.
b) El marco legal y regulatorio en el que se desarrollarn las actividades.
c) Los roles o funciones de seguridad, definiendo para cada uno, los deberes y
responsabilidades del cargo, as como el procedimiento para su designacin y renovacin.
d) La estructura del comit o los comits para la gestin y coordinacin de la seguridad,
detallando su mbito de responsabilidad, los miembros y la relacin con otros elementos de
la organizacin.
e) Las directrices para la estructuracin de la documentacin de seguridad del sistema,
su gestin y acceso.
La poltica de seguridad debe referenciar y ser coherente con lo establecido en el
Documento de Seguridad que exige el Real Decreto 1720/2007, en lo que corresponda.
3.2 Normativa de seguridad [org.2].
dimensiones Todas
aplica = =
Se dispondr de una serie de documentos que describan:
Pgina 19
a) El uso correcto de equipos, servicios e instalaciones.

b) Lo que se considerar uso indebido.
c) La responsabilidad del personal con respecto al cumplimiento o violacin de estas
normas: derechos, deberes y medidas disciplinarias de acuerdo con la legislacin vigente.
3.3 Procedimientos de seguridad [org.3].
dimensiones Todas
aplica = =
Se dispondr de una serie de documentos que detallen de forma clara y precisa:

a) Cmo llevar a cabo las tareas habituales.
b) Quin debe hacer cada tarea.
c) Cmo identificar y reportar comportamientos anmalos.
3.4 Proceso de autorizacin [org.4].
dimensiones Todas
aplica = =
Se establecer un proceso formal de autorizaciones que cubra todos los elementos del
sistema de informacin:
a) Utilizacin de instalaciones, habituales y alternativas.
b) Entrada de equipos en produccin, en particular, equipos que involucren criptografa.
c) Entrada de aplicaciones en produccin.
d) Establecimiento de enlaces de comunicaciones con otros sistemas.
e) Utilizacin de medios de comunicacin, habituales y alternativos.
f) Utilizacin de soportes de informacin.
g) Utilizacin de equipos mviles. Se entender por equipos mviles ordenadores
porttiles, PDA, u otros de naturaleza anloga.
h) Utilizacin de servicios de terceros, bajo contrato o Convenio.
4. Marco operacional [op]

El marco operacional est constituido por las medidas a tomar para proteger la operacin
del sistema como conjunto integral de componentes para un fin.
4.1 Planificacin [op.pl].
4.1.1 Anlisis de riesgos [op.pl.1].
dimensiones Todas
aplica + ++
Categora BSICA
Bastar un anlisis informal, realizado en lenguaje natural. Es decir, una exposicin
textual que describa los siguientes aspectos:
a) Identifique los activos ms valiosos del sistema.
b) Identifique las amenazas ms probables.
c) Identifique las salvaguardas que protegen de dichas amenazas.
d) Identifique los principales riesgos residuales.
Categora MEDIA
Pgina 20
Se deber realizar un anlisis semi-formal, usando un lenguaje especfico, con un

catlogo bsico de amenazas y una semntica definida. Es decir, una presentacin con
tablas que describa los siguientes aspectos:
a) Identifique y valore cualitativamente los activos ms valiosos del sistema.
b) Identifique y cuantifique las amenazas ms probables.
c) Identifique y valore las salvaguardas que protegen de dichas amenazas.
d) Identifique y valore el riesgo residual.
Categora ALTA
Se deber realizar un anlisis formal, usando un lenguaje especfico, con un fundamento
matemtico reconocido internacionalmente. El anlisis deber cubrir los siguientes aspectos:
a) Identifique y valore cualitativamente los activos ms valiosos del sistema.
b) Identifique y cuantifique las amenazas posibles.
c) Identifique las vulnerabilidades habilitantes de dichas amenazas.
d) Identifique y valore las salvaguardas adecuadas.
e) Identifique y valore el riesgo residual.
4.1.2 Arquitectura de seguridad [op.pl.2].
dimensiones Todas
aplica + +
La seguridad del sistema ser objeto de un planteamiento integral detallando, al menos,

los siguientes aspectos:
Categora BSICA
a) Documentacin de las instalaciones:
1. reas.
2. Puntos de acceso.
b) Documentacin del sistema:
1. Equipos.
2. Redes internas y conexiones al exterior.
3. Puntos de acceso al sistema (puestos de trabajo y consolas de administracin).
c) Esquema de lneas de defensa:
1. Puntos de interconexin a otros sistemas o a otras redes, en especial si se trata de
Internet o redes pblicas en general.
2. Cortafuegos, DMZ, etc.
3. Utilizacin de tecnologas diferentes para prevenir vulnerabilidades que pudieran
perforar simultneamente varias lneas de defensa.
d) Sistema de identificacin y autenticacin de usuarios:
1. Uso de claves concertadas, contraseas, tarjetas de identificacin, biometra, u otras
de naturaleza anloga.
2. Uso de ficheros o directorios para autenticar al usuario y determinar sus derechos de
acceso.
Categora MEDIA
e) Sistema de gestin, relativo a la planificacin, organizacin y control de los recursos
relativos a la seguridad de la informacin.
Categora ALTA
f) Sistema de gestin de seguridad de la informacin con actualizacin y aprobacin
peridica.
Pgina 21
g) Controles tcnicos internos:

1. Validacin de datos de entrada, salida y datos intermedios.
4.1.3 Adquisicin de nuevos componentes [op.pl.3].
dimensiones todas
aplica = =
Se establecer un proceso formal para planificar la adquisicin de nuevos componentes

del sistema, proceso que:
a) Atender a las conclusiones del anlisis de riesgos: [op.pl.1].
b) Ser acorde a la arquitectura de seguridad escogida: [op.pl.2].
c) Contemplar las necesidades tcnicas, de formacin y de financiacin de forma
conjunta.
4.1.4 Dimensionamiento / gestin de capacidades [op.pl.4].
dimensiones D
nivel bajo medio alto
no aplica aplica =
Nivel MEDIO
Con carcter previo a la puesta en explotacin, se realizar un estudio previo que cubrir
a) Necesidades de procesamiento.
b) Necesidades de almacenamiento de informacin: durante su procesamiento y durante
el periodo que deba retenerse.
d) Necesidades de comunicacin.
e) Necesidades de personal: cantidad y cualificacin profesional.
f) Necesidades de instalaciones y medios auxiliares.
4.1.5 Componentes certificados [op.pl.5].
dimensiones Todas
no aplica no aplica aplica
Categora ALTA
Se utilizarn sistemas, productos o equipos cuyas funcionalidades de seguridad y su
nivel hayan sido evaluados conforme a normas europeas o internacionales y cuyos
certificados estn reconocidos por el Esquema Nacional de Evaluacin y Certificacin de la
Seguridad de las Tecnologas de la Informacin.
Tendrn la consideracin de normas europeas o internacionales, ISO/IEC 15408 u otras
de naturaleza y calidad anlogas.
Una instruccin tcnica de seguridad detallar los criterios exigibles.
4.2 Control de acceso. [op.acc].
El control de acceso cubre el conjunto de actividades preparatorias y ejecutivas para que
una determinada entidad, usuario o proceso, pueda, o no, acceder a un recurso del sistema
para realizar una determinada accin.
El control de acceso que se implante en un sistema real ser un punto de equilibrio entre
la comodidad de uso y la proteccin de la informacin. En sistemas de nivel Bajo, se primar
la comodidad, mientras que en sistemas de nivel Alto se primar la proteccin.
En todo control de acceso se requerir lo siguiente:
Pgina 22
a) Que todo acceso est prohibido, salvo concesin expresa.

b) Que la entidad quede identificada singularmente [op.acc.1].
c) Que la utilizacin de los recursos est protegida [op.acc.2].
d) Que se definan para cada entidad los siguientes parmetros: a qu se necesita
acceder, con qu derechos y bajo qu autorizacin [op.acc.4].
e) Sern diferentes las personas que autorizan, usan y controlan el uso [op.acc.3].
f) Que la identidad de la entidad quede suficientemente autenticada [mp.acc.5].
g) Que se controle tanto el acceso local ([op.acc.6]) como el acceso remoto ([op.acc.7]).
Con el cumplimiento de todas las medidas indicadas se garantizar que nadie acceder
a recursos sin autorizacin. Adems, quedar registrado el uso del sistema ([op.exp.8]) para
poder detectar y reaccionar a cualquier fallo accidental o deliberado.
Cuando se interconecten sistemas en los que la identificacin, autenticacin y
autorizacin tengan lugar en diferentes dominios de seguridad, bajo distintas
responsabilidades, en los casos en que sea necesario, las medidas de seguridad locales se
acompaarn de los correspondientes acuerdos de colaboracin que delimiten mecanismos
y procedimientos para la atribucin y ejercicio efectivos de las responsabilidades de cada
sistema ([op.ext]).
4.2.1 Identificacin [op.acc.1].
dimensiones A T
aplica = =
La identificacin de los usuarios del sistema se realizar de acuerdo con lo que se indica
a continuacin:
1. Se podrn utilizar como identificador nico los sistemas de identificacin previstos en
la normativa de aplicacin.
2. Cuando el usuario tenga diferentes roles frente al sistema (por ejemplo, como
ciudadano, como trabajador interno del organismo y como administrador de los sistemas)
recibir identificadores singulares para cada uno de los casos de forma que siempre queden
delimitados privilegios y registros de actividad.
3. Cada entidad (usuario o proceso) que accede al sistema, contar con un identificador
singular de tal forma que:
a) Se puede saber quin recibe y qu derechos de acceso recibe.
b) Se puede saber quin ha hecho algo y qu ha hecho.
4. Las cuentas de usuario se gestionarn de la siguiente forma:
a) Cada cuenta estar asociada a un identificador nico.
b) Las cuentas deben ser inhabilitadas en los siguientes casos: cuando el usuario deja la
organizacin; cuando el usuario cesa en la funcin para la cual se requera la cuenta de
usuario; o, cuando la persona que la autoriz, da orden en sentido contrario.
c) Las cuentas se retendrn durante el periodo necesario para atender a las necesidades
de trazabilidad de los registros de actividad asociados a las mismas. A este periodo se le
denominar periodo de retencin.
5. En los supuestos contemplados en el Captulo IV relativo a "Comunicaciones
Electrnicas", las partes intervinientes se identificarn de acuerdo a los mecanismos
previstos en la legislacin europea y nacional en la materia, con la siguiente correspondencia
entre los niveles de la dimensin de autenticidad de los sistemas de informacin a los que se
tiene acceso y los niveles de seguridad (bajo, sustancial, alto) de los sistemas de
identificacin electrnica previstos en el Reglamento n. 910/2014, del Parlamento Europeo y
del Consejo, de 23 de julio de 2014, relativo a la identificacin electrnica y los servicios de
confianza para las transacciones electrnicas en el mercado interior y por el que se deroga
la Directiva 1999/93/CE:
Pgina 23
Si se requiere un nivel BAJO en la dimensin de autenticidad (anexo I): Nivel de

seguridad bajo, sustancial o alto (artculo 8 del Reglamento n. 910/2014)
Si se requiere un nivel MEDIO en la dimensin de autenticidad (anexo I): Nivel de
seguridad sustancial o alto (artculo 8 del Reglamento n. 910/2014)
Si se requiere un nivel ALTO en la dimensin de autenticidad (anexo I): Nivel de
seguridad alto (artculo 8 del Reglamento n. 910/2014).
4.2.2 Requisitos de acceso [op.acc.2].
dimensiones I C A T
aplica = =
Los requisitos de acceso se atendern a lo que a continuacin se indica:

a) Los recursos del sistema se protegern con algn mecanismo que impida su
utilizacin, salvo a las entidades que disfruten de derechos de acceso suficientes.
b) Los derechos de acceso de cada recurso, se establecern segn las decisiones de la
persona responsable del recurso, atenindose a la poltica y normativa de seguridad del
sistema.
c) Particularmente se controlar el acceso a los componentes del sistema y a sus
ficheros o registros de configuracin.
4.2.3 Segregacin de funciones y tareas [op.acc.3].
dimensiones I C A T
no aplica aplica =
Nivel MEDIO
El sistema de control de acceso se organizar de forma que se exija la concurrencia de
dos o ms personas para realizar tareas crticas, anulando la posibilidad de que un solo
individuo autorizado, pueda abusar de sus derechos para cometer alguna accin ilcita.
En concreto, se separarn al menos las siguientes funciones:
a) Desarrollo de operacin.
b) Configuracin y mantenimiento del sistema de operacin.
c) Auditora o supervisin de cualquier otra funcin.
4.2.4 Proceso de gestin de derechos de acceso [op.acc.4].
dimensiones I C A T
aplica = =
Los derechos de acceso de cada usuario, se limitarn atendiendo a los siguientes

principios:
a) Mnimo privilegio. Los privilegios de cada usuario se reducirn al mnimo estrictamente
necesario para cumplir sus obligaciones. De esta forma se acotan los daos que pudiera
causar una entidad, de forma accidental o intencionada.
b) Necesidad de conocer. Los privilegios se limitarn de forma que los usuarios slo
accedern al conocimiento de aquella informacin requerida para cumplir sus obligaciones.
c) Capacidad de autorizar. Slo y exclusivamente el personal con competencia para ello,
podr conceder, alterar o anular la autorizacin de acceso a los recursos, conforme a los
criterios establecidos por su responsable.
4.2.5 Mecanismo de autenticacin [op.acc.5].
Pgina 24
dimensiones ICAT
aplica + ++
Los mecanismos de autenticacin frente al sistema se adecuarn al nivel del sistema

atendiendo a las consideraciones que siguen, pudiendo usarse los siguientes factores de
autenticacin:
"algo que se sabe": contraseas o claves concertadas.
"algo que se tiene": componentes lgicos (tales como certificados software) o
dispositivos fsicos (en expresin inglesa, tokens).
"algo que se es": elementos biomtricos.
Los factores anteriores podrn utilizarse de manera aislada o combinarse para generar
mecanismos de autenticacin fuerte.
Las guas CCN-STIC desarrollarn los mecanismos concretos adecuados para cada
nivel.
Las instancias del factor o los factores de autenticacin que se utilicen en el sistema, se
denominarn credenciales.
Antes de proporcionar las credenciales de autenticacin a los usuarios, estos debern
haberse identificado y registrado de manera fidedigna ante el sistema o ante un proveedor
de identidad electrnica reconocido por la Administracin. Se contemplan varias
posibilidades de registro de los usuarios:
Mediante la presentacin fsica del usuario y verificacin de su identidad acorde a la
legalidad vigente, ante un funcionario habilitado para ello.
De forma telemtica, mediante DNI electrnico o un certificado electrnico cualificado.
De forma telemtica, utilizando otros sistemas admitidos legalmente para la
identificacin de los ciudadanos de los contemplados en la normativa de aplicacin.
Nivel BAJO
a) Como principio general, se admitir el uso de cualquier mecanismo de autenticacin
sustentado en un solo factor.
b) En el caso de utilizarse como factor "algo que se sabe", se aplicarn reglas bsicas de
calidad de la misma.
c) Se atender a la seguridad de las credenciales de forma que:
1. Las credenciales se activarn una vez estn bajo el control efectivo del usuario.
2. Las credenciales estarn bajo el control exclusivo del usuario.
3. El usuario reconocer que las ha recibido y que conoce y acepta las obligaciones que
implica su tenencia, en particular, el deber de custodia diligente, proteccin de su
confidencialidad e informacin inmediata en caso de prdida.
4. Las credenciales se cambiarn con una periodicidad marcada por la poltica de la
organizacin, atendiendo a la categora del sistema al que se accede.
5. Las credenciales se retirarn y sern deshabilitadas cuando la entidad (persona,
equipo o proceso) que autentican termina su relacin con el sistema.
Nivel MEDIO
a) Se exigir el uso de al menos dos factores de autenticacin.
b) En el caso de utilizacin de "algo que se sabe" como factor de autenticacin, se
establecern exigencias rigurosas de calidad y renovacin.
c) Las credenciales utilizadas debern haber sido obtenidas tras un registro previo:
1. Presencial.
2. Telemtico usando certificado electrnico cualificado.
3. Telemtico mediante una autenticacin con una credencial electrnica obtenida tras
un registro previo presencial o telemtico usando certificado electrnico cualificado en
dispositivo cualificado de creacin de firma.
Nivel ALTO
Pgina 25
a) Las credenciales se suspendern tras un periodo definido de no utilizacin.

b) En el caso del uso de utilizacin de "algo que se tiene", se requerir el uso de
elementos criptogrficos hardware usando algoritmos y parmetros acreditados por el Centro
Criptolgico Nacional.
c) Las credenciales utilizadas debern haber sido obtenidas tras un registro previo
presencial o telemtico usando certificado electrnico cualificado en dispositivo cualificado
de creacin de firma.
4.2.6 Acceso local [op.acc.6].
dimensiones I C A T
aplica + ++
Se considera acceso local al realizado desde puestos de trabajo dentro de las propias
instalaciones de la organizacin. Estos accesos tendrn en cuenta el nivel de las
dimensiones de seguridad:
Nivel BAJO
a) Se prevendrn ataques que puedan revelar informacin del sistema sin llegar a
acceder al mismo. La informacin revelada a quien intenta acceder, debe ser la mnima
imprescindible (los dilogos de acceso proporcionarn solamente la informacin
indispensable).
b) El nmero de intentos permitidos ser limitado, bloqueando la oportunidad de acceso
una vez efectuados un cierto nmero de fallos consecutivos.
c) Se registrarn los accesos con xito, y los fallidos.
d) El sistema informar al usuario de sus obligaciones inmediatamente despus de
obtener el acceso.
Nivel MEDIO
Se informar al usuario del ltimo acceso efectuado con su identidad.
Nivel ALTO
a) El acceso estar limitado por horario, fechas y lugar desde donde se accede.
b) Se definirn aquellos puntos en los que el sistema requerir una renovacin de la
autenticacin del usuario, mediante identificacin singular, no bastando con la sesin
establecida.
4.2.7 Acceso remoto [op.acc.7].
dimensiones I C A T
aplica + =
Se considera acceso remoto al realizado desde fuera de las propias instalaciones de la

organizacin, a travs de redes de terceros.
Nivel BAJO
Se garantizar la seguridad del sistema cuando accedan remotamente usuarios u otras
entidades, lo que implicar proteger tanto el acceso en s mismo (como [op.acc.6]) como el
canal de acceso remoto (como en [mp.com.2] y [mp.com.3]).
Nivel MEDIO
Se establecer una poltica especfica de lo que puede hacerse remotamente,
requirindose autorizacin positiva.
4.3 Explotacin [op.exp].
4.3.1 Inventario de activos [op.exp.1].
Pgina 26
dimensiones Todas
aplica = =
Se mantendr un inventario actualizado de todos los elementos del sistema, detallando

su naturaleza e identificando a su responsable; es decir, la persona que es responsable de
las decisiones relativas al mismo.
4.3.2 Configuracin de seguridad [op.exp.2].
dimensiones Todas
aplica = =
Se configurarn los equipos previamente a su entrada en operacin, de forma que:

a) Se retiren cuentas y contraseas estndar.
b) Se aplicar la regla de mnima funcionalidad:
1. El sistema debe proporcionar la funcionalidad requerida para que la organizacin
alcance sus objetivos y ninguna otra funcionalidad,
2. No proporcionar funciones gratuitas, ni de operacin, ni de administracin, ni de
auditora, reduciendo de esta forma su permetro al mnimo imprescindible.
3. Se eliminar o desactivar mediante el control de la configuracin, aquellas funciones
que no sean de inters, no sean necesarias, e incluso, aquellas que sean inadecuadas al fin
que se persigue.
c) Se aplicar la regla de seguridad por defecto:
1. Las medidas de seguridad sern respetuosas con el usuario y protegern a ste,
salvo que se exponga conscientemente a un riesgo.
2. Para reducir la seguridad, el usuario tiene que realizar acciones conscientes.
3. El uso natural, en los casos que el usuario no ha consultado el manual, ser un uso
seguro.
4.3.3 Gestin de la configuracin [op.exp.3].
dimensiones todas
no aplica aplica =
Categora MEDIA
Se gestionar de forma continua la configuracin de los componentes del sistema de
forma que:
a) Se mantenga en todo momento la regla de "funcionalidad mnima" ([op.exp.2]).
b) Se mantenga en todo momento la regla de "seguridad por defecto" ([op.exp.2]).
c) El sistema se adapte a las nuevas necesidades, previamente autorizadas ([op.acc.4]).
d) El sistema reaccione a vulnerabilidades reportadas ([op.exp.4]).
e) El sistema reaccione a incidentes (ver [op.exp.7]).
4.3.4 Mantenimiento [op.exp.4].
dimensiones todas
aplica = =
Para mantener el equipamiento fsico y lgico que constituye el sistema, se aplicar lo

siguiente:
Pgina 27
a) Se atender a las especificaciones de los fabricantes en lo relativo a instalacin y

mantenimiento de los sistemas.
b) Se efectuar un seguimiento continuo de los anuncios de defectos.
c) Se dispondr de un procedimiento para analizar, priorizar y determinar cundo aplicar
las actualizaciones de seguridad, parches, mejoras y nuevas versiones. La priorizacin
tendr en cuenta la variacin del riesgo en funcin de la aplicacin o no de la actualizacin.
4.3.5 Gestin de cambios [op.exp.5].
dimensiones todas
no aplica aplica =
Categora MEDIA
Se mantendr un control continuo de cambios realizados en el sistema, de forma que:
a) Todos los cambios anunciados por el fabricante o proveedor sern analizados para
determinar su conveniencia para ser incorporados, o no.
b) Antes de poner en produccin una nueva versin o una versin parcheada, se
comprobar en un equipo que no est en produccin, que la nueva instalacin funciona
correctamente y no disminuye la eficacia de las funciones necesarias para el trabajo diario.
El equipo de pruebas ser equivalente al de produccin en los aspectos que se comprueban.
c) Los cambios se planificarn para reducir el impacto sobre la prestacin de los
servicios afectados.
d) Mediante anlisis de riesgos se determinar si los cambios son relevantes para la
seguridad del sistema. Aquellos cambios que impliquen una situacin de riesgo de nivel alto
sern aprobados explcitamente de forma previa a su implantacin.
4.3.6 Proteccin frente a cdigo daino [op.exp.6].
dimensiones todas
aplica = =
Se considera cdigo daino: los virus, los gusanos, los troyanos, los programas espas,
conocidos en terminologa inglesa como spyware, y en general, todo lo conocido como
malware.
Se dispondr de mecanismos de prevencin y reaccin frente a cdigo daino con
mantenimiento de acuerdo a las recomendaciones del fabricante.
4.3.7 Gestin de incidentes [op.exp.7].
dimensiones Todas
no aplica aplica =
Categora MEDIA
Se dispondr de un proceso integral para hacer frente a los incidentes que puedan tener
un impacto en la seguridad del sistema, incluyendo:
a) Procedimiento de reporte de eventos de seguridad y debilidades, detallando los
criterios de clasificacin y el escalado de la notificacin.
b) Procedimiento de toma de medidas urgentes, incluyendo la detencin de servicios, el
aislamiento del sistema afectado, la recogida de evidencias y proteccin de los registros,
segn convenga al caso.
c) Procedimiento de asignacin de recursos para investigar las causas, analizar las
consecuencias y resolver el incidente.
d) Procedimientos para informar a las partes interesadas, internas y externas.
Pgina 28
e) Procedimientos para:
1. Prevenir que se repita el incidente.
2. Incluir en los procedimientos de usuario la identificacin y forma de tratar el incidente.
3. Actualizar, extender, mejorar u optimizar los procedimientos de resolucin de
incidentes.
La gestin de incidentes que afecten a datos de carcter personal tendr en cuenta lo
dispuesto en la Ley Orgnica 15/1999, de 13 de diciembre, y normas de desarrollo, sin
perjuicio de cumplir, adems, las medidas establecidas por este real decreto.
4.3.8 Registro de la actividad de los usuarios [op.exp.8].
dimensiones T
aplica + ++
Se registrarn las actividades de los usuarios en el sistema, de forma que:

a) El registro indicar quin realiza la actividad, cundo la realiza y sobre qu
informacin.
b) Se incluir la actividad de los usuarios y, especialmente, la de los operadores y
administradores en cuanto puedan acceder a la configuracin y actuar en el mantenimiento
del sistema.
c) Debern registrarse las actividades realizadas con xito y los intentos fracasados.
d) La determinacin de qu actividades deben registrarse y con qu niveles de detalle se
adoptar a la vista del anlisis de riesgos realizado sobre el sistema ([op.pl.1]).
Nivel BAJO
Se activarn los registros de actividad en los servidores.
Nivel MEDIO
Se revisarn informalmente los registros de actividad buscando patrones anormales.
Nivel ALTO
Se dispondr de un sistema automtico de recoleccin de registros y correlacin de
eventos; es decir, una consola de seguridad centralizada.
4.3.9 Registro de la gestin de incidentes [op.exp.9].
dimensiones Todas
no aplica aplica =
Categora MEDIA
Se registrarn todas las actuaciones relacionadas con la gestin de incidentes, de forma
que:
a) Se registrar el reporte inicial, las actuaciones de emergencia y las modificaciones del
sistema derivadas del incidente.
b) Se registrar aquella evidencia que pueda, posteriormente, sustentar una demanda
judicial, o hacer frente a ella, cuando el incidente pueda llevar a actuaciones disciplinarias
sobre el personal interno, sobre proveedores externos o a la persecucin de delitos. En la
determinacin de la composicin y detalle de estas evidencias, se recurrir a asesoramiento
legal especializado.
c) Como consecuencia del anlisis de los incidentes, se revisar la determinacin de los
eventos auditables.
4.3.10 Proteccin de los registros de actividad [op.exp.10].
Pgina 29
dimensiones T
Nivel ALTO
Se protegern los registros del sistema, de forma que:
a) Se determinar el periodo de retencin de los registros.
b) Se asegurar la fecha y hora. Ver [mp.info.5].
c) Los registros no podrn ser modificados ni eliminados por personal no autorizado.
d) Las copias de seguridad, si existen, se ajustarn a los mismos requisitos.
4.3.11 Proteccin de claves criptogrficas [op.exp.11].
dimensiones Todas
aplica + =
Las claves criptogrficas se protegern durante todo su ciclo de vida: (1) generacin, (2)
transporte al punto de explotacin, (3) custodia durante la explotacin, (4) archivo posterior a
su retirada de explotacin activa y (5) destruccin final.
Categora BSICA
a) Los medios de generacin estarn aislados de los medios de explotacin.
b) Las claves retiradas de operacin que deban ser archivadas, lo sern en medios
aislados de los de explotacin.
Categora MEDIA
a) Se usarn programas evaluados o dispositivos criptogrficos certificados conforme a
lo establecido en [op.pl.5].
b) Se emplearn algoritmos acreditados por el Centro Criptolgico Nacional.
4.4 Servicios externos [op.ext].
Cuando se utilicen recursos externos a la organizacin, sean servicios, equipos,
instalaciones o personal, deber tenerse en cuenta que la delegacin se limita a las
funciones.
La organizacin sigue siendo en todo momento responsable de los riesgos en que se
incurre en la medida en que impacten sobre la informacin manejada y los servicios finales
prestados por la organizacin.
La organizacin dispondr las medidas necesarias para poder ejercer su responsabilidad
y mantener el control en todo momento.
4.4.1 Contratacin y acuerdos de nivel de servicio [op.ext.1].
dimensiones todas
no aplica aplica =
Categora MEDIA
Previa a la utilizacin de recursos externos se establecern contractualmente las
caractersticas del servicio prestado y las responsabilidades de las partes. Se detallar lo
que se considera calidad mnima del servicio prestado y las consecuencias de su
incumplimiento.
4.4.2 Gestin diaria [op.ext.2].
dimensiones Todas
Pgina 30
no aplica aplica =
Categora MEDIA
Para la gestin diaria del sistema, se establecern los siguientes puntos:
a) Un sistema rutinario para medir el cumplimiento de las obligaciones de servicio y el
procedimiento para neutralizar cualquier desviacin fuera del margen de tolerancia acordado
([op.ext.1]).
b) El mecanismo y los procedimientos de coordinacin para llevar a cabo las tareas de
mantenimiento de los sistemas afectados por el acuerdo.
c) El mecanismo y los procedimientos de coordinacin en caso de incidentes y desastres
(ver [op.exp.7]).
4.4.3 Medios alternativos [op.ext.9].
dimensiones D
Nivel ALTO
Estar prevista la provisin del servicio por medios alternativos en caso de
indisponibilidad del servicio contratado. El servicio alternativo disfrutar de las mismas
garantas de seguridad que el servicio habitual.
4.5 Continuidad del servicio [op.cont].
4.5.1 Anlisis de impacto [op.cont.1].
dimensiones D
no aplica aplica =
Nivel MEDIO
Se realizar un anlisis de impacto que permita determinar:
a) Los requisitos de disponibilidad de cada servicio medidos como el impacto de una
interrupcin durante un cierto periodo de tiempo.
b) Los elementos que son crticos para la prestacin de cada servicio.
4.5.2 Plan de continuidad [op.cont.2].
dimensiones D
Nivel ALTO
Se desarrollar un plan de continuidad que establezca las acciones a ejecutar en caso
de interrupcin de los servicios prestados con los medios habituales. Este plan contemplar
a) Se identificarn funciones, responsabilidades y actividades a realizar.
b) Existir una previsin de los medios alternativos que se va a conjugar para poder
seguir prestando los servicios.
c) Todos los medios alternativos estarn planificados y materializados en acuerdos o
contratos con los proveedores correspondientes.
d) Las personas afectadas por el plan recibirn formacin especfica relativa a su papel
en dicho plan.
Pgina 31
e) El plan de continuidad ser parte integral y armnica de los planes de continuidad de

la organizacin en otras materias ajenas a la seguridad.
4.5.3 Pruebas peridicas [op.cont.3].
dimensiones D
Nivel ALTO
Se realizarn pruebas peridicas para localizar y, corregir en su caso, los errores o
deficiencias que puedan existir en el plan de continuidad
4.6 Monitorizacin del sistema [op.mon].
El sistema estar sujeto a medidas de monitorizacin de su actividad.
4.6.1 Deteccin de intrusin [op.mon.1].
dimensiones Todas
no aplica aplica =
Categora MEDIA
Se dispondrn de herramientas de deteccin o de prevencin de intrusin.
4.6.2 Sistema de mtricas [op.mon.2].
dimensiones Todas
aplica + ++
Categora BSICA:
Se recopilarn los datos necesarios atendiendo a la categora del sistema para conocer
el grado de implantacin de las medidas de seguridad que apliquen de las detalladas en el
Anexo II y, en su caso, para proveer el informe anual requerido por el artculo 35.
Categora MEDIA:
Adems, se recopilaran datos para valorar el sistema de gestin de incidentes,
permitiendo conocer
Nmero de incidentes de seguridad tratados.
Tiempo empleado para cerrar el 50% de los incidentes.
Tiempo empleado para cerrar el 90% de las incidentes.
Categora ALTA
Se recopilarn datos para conocer la eficiencia del sistema de seguridad TIC:
Recursos consumidos: horas y presupuesto.
5. Medidas de proteccin [mp]

Las medidas de proteccin, se centrarn en proteger activos concretos, segn su
naturaleza, con el nivel requerido en cada dimensin de seguridad.
5.1 Proteccin de las instalaciones e infraestructuras [mp.if].
5.1.1 reas separadas y con control de acceso [mp.if.1].
dimensiones todas
Pgina 32

aplica = =
El equipamiento de instalar en reas separadas especficas para su funcin.

Se controlarn los accesos a las reas indicadas de forma que slo se pueda acceder
por las entradas previstas y vigiladas.
5.1.2 Identificacin de las personas [mp.if.2].
dimensiones todas
aplica = =
El mecanismo de control de acceso se atendr a lo que se dispone a continuacin:

a) Se identificar a todas las personas que accedan a los locales donde hay
equipamiento que forme parte del sistema de informacin.
b) Se registrarn las entradas y salidas de personas.
5.1.3 Acondicionamiento de los locales [mp.if.3].
dimensiones todas
aplica = =
Los locales donde se ubiquen los sistemas de informacin y sus componentes,

dispondrn de elementos adecuados para el eficaz funcionamiento del equipamiento all
instalado. Y, en especial:
a) Condiciones de temperatura y humedad.
b) Proteccin frente a las amenazas identificadas en el anlisis de riesgos.
c) Proteccin del cableado frente a incidentes fortuitos o deliberados.
5.1.4 Energa elctrica [mp.if.4].
dimensiones D
aplica + =
Nivel BAJO
Los locales donde se ubiquen los sistemas de informacin y sus componentes
dispondrn de la energa elctrica, y sus tomas correspondientes, necesaria para su
funcionamiento, de forma que en los mismos:
a) Se garantizar el suministro de potencia elctrica.
b) Se garantizar el correcto funcionamiento de las luces de emergencia.
Nivel MEDIO
Se garantizar el suministro elctrico a los sistemas en caso de fallo del suministro
general, garantizando el tiempo suficiente para una terminacin ordenada de los procesos,
salvaguardando la informacin.
5.1.5 Proteccin frente a incendios [mp.if.5].
dimensiones D
aplica = =
Pgina 33
Los locales donde se ubiquen los sistemas de informacin y sus componentes se

protegern frente a incendios fortuitos o deliberados, aplicando al menos la normativa
industrial pertinente.
5.1.6 Proteccin frente a inundaciones [mp.if.6].
dimensiones D
no aplica aplica =
Nivel MEDIO
Los locales donde se ubiquen los sistemas de informacin y sus componentes se
protegern frente a incidentes fortuitos o deliberados causados por el agua.
5.1.7 Registro de entrada y salida de equipamiento [mp.if.7].
dimensiones todas
aplica = =
Se llevar un registro pormenorizado de toda entrada y salida de equipamiento,

incluyendo la identificacin de la persona que autoriza de movimiento.
5.1.8 Instalaciones alternativas [mp.if.9].
dimensiones D
Nivel ALTO
Se garantizar la existencia y disponibilidad de instalaciones alternativas para poder
trabajar en caso de que las instalaciones habituales no estn disponibles. Las instalaciones
alternativas disfrutarn de las mismas garantas de seguridad que las instalaciones
habituales.
5.2 Gestin del personal [mp.per].
5.2.1 Caracterizacin del puesto de trabajo [mp.per.1].
dimensiones todas
no aplica aplica =
Categora MEDIA
Cada puesto de trabajo se caracterizar de la siguiente forma:
a) Se definirn las responsabilidades relacionadas con cada puesto de trabajo en
materia de seguridad. La definicin se basar en el anlisis de riesgos.
b) Se definirn los requisitos que deben satisfacer las personas que vayan a ocupar el
puesto de trabajo, en particular, en trminos de confidencialidad.
c) Dichos requisitos se tendrn en cuenta en la seleccin de la persona que vaya a
ocupar dicho puesto, incluyendo la verificacin de sus antecedentes laborales, formacin y
otras referencias.
5.2.2 Deberes y obligaciones [mp.per.2].
dimensiones todas
Pgina 34
aplica = =
1. Se informar a cada persona que trabaje en el sistema, de los deberes y

responsabilidades de su puesto de trabajo en materia de seguridad.
a) Se especificarn las medidas disciplinarias a que haya lugar.
b) Se cubrir tanto el periodo durante el cual se desempea el puesto, como las
obligaciones en caso de trmino de la asignacin, o traslado a otro puesto de trabajo.
c) Se contemplar el deber de confidencialidad respecto de los datos a los que tenga
acceso, tanto durante el periodo que estn adscritos al puesto de trabajo, como
posteriormente a su terminacin.
2. En caso de personal contratado a travs de un tercero:
a) Se establecern los deberes y obligaciones del personal.
b) Se establecern los deberes y obligaciones de cada parte.
c) Se establecer el procedimiento de resolucin de incidentes relacionados con el
incumplimiento de las obligaciones.
5.2.3 Concienciacin [mp.per.3].
dimensiones todas
aplica = =
Se realizarn las acciones necesarias para concienciar regularmente al personal acerca

de su papel y responsabilidad para que la seguridad del sistema alcance los niveles
exigidos.
En particular, se recordar regularmente:
a) La normativa de seguridad relativa al buen uso de los sistemas.
b) La identificacin de incidentes, actividades o comportamientos sospechosos que
deban ser reportados para su tratamiento por personal especializado.
c) El procedimiento de reporte de incidentes de seguridad, sean reales o falsas alarmas.
5.2.4 Formacin [mp.per.4].
dimensiones todas
aplica = =
Se formar regularmente al personal en aquellas materias que requieran para el

desempeo de sus funciones, en particular en lo relativo a:
a) Configuracin de sistemas.
b) Deteccin y reaccin a incidentes.
c) Gestin de la informacin en cualquier soporte en el que se encuentre. Se cubrirn al
menos las siguientes actividades: almacenamiento, transferencia, copias, distribucin y
destruccin.
5.2.5 Personal alternativo [mp.per.9].
dimensiones D
Nivel ALTO
Se garantizar la existencia y disponibilidad de otras personas que se puedan hacer
cargo de las funciones en caso de indisponibilidad del personal habitual. El personal
Pgina 35
alternativo deber estar sometido a las mismas garantas de seguridad que el personal
habitual.
5.3 Proteccin de los equipos [mp.eq].
5.3.1 Puesto de trabajo despejado [mp.eq.1].
dimensiones todas
aplica + =
Categora BSICA
Se exigir que los puestos de trabajo permanezcan despejados, sin ms material encima
de la mesa que el requerido para la actividad que se est realizando en cada momento
Categora MEDIA
Este material se guardar en lugar cerrado cuando no se est utilizando.
5.3.2 Bloqueo de puesto de trabajo [mp.eq.2].
dimensiones A
no aplica aplica +
Nivel MEDIO
El puesto de trabajo se bloquear al cabo de un tiempo prudencial de inactividad,
requiriendo una nueva autenticacin del usuario para reanudar la actividad en curso.
Nivel ALTO
Pasado un cierto tiempo, superior al anterior, se cancelarn las sesiones abiertas desde
dicho puesto de trabajo.
5.3.3 Proteccin de porttiles [mp.eq.3].
dimensiones Todas
aplica = +
Categora BSICA
Los equipos que sean susceptibles de salir de las instalaciones de la organizacin y no
puedan beneficiarse de la proteccin fsica correspondiente, con un riesgo manifiesto de
prdida o robo, sern protegidos adecuadamente.
Sin perjuicio de las medidas generales que les afecten, se adoptarn las siguientes:
a) Se llevar un inventario de equipos porttiles junto con una identificacin de la
persona responsable del mismo y un control regular de que est positivamente bajo su
control.
b) Se establecer un canal de comunicacin para informar, al servicio de gestin de
incidentes, de prdidas o sustracciones.
c) Cuando un equipo porttil se conecte remotamente a travs de redes que no estn
bajo el estricto control de la organizacin, el mbito de operacin del servidor limitar la
informacin y los servicios accesibles a los mnimos imprescindibles, requiriendo
autorizacin previa de los responsables de la informacin y los servicios afectados. Este
punto es de aplicacin a conexiones a travs de Internet y otras redes que no sean de
confianza.
d) Se evitar, en la medida de lo posible, que el equipo contenga claves de acceso
remoto a la organizacin. Se considerarn claves de acceso remoto aquellas que sean
Pgina 36
capaces de habilitar un acceso a otros equipos de la organizacin, u otras de naturaleza

anloga.
Categora ALTA
a) Se dotar al dispositivo de detectores de violacin que permitan saber el equipo ha
sido manipulado y activen los procedimientos previstos de gestin del incidente.
b) La informacin de nivel alto almacenada en el disco se proteger mediante cifrado.
5.3.4 Medios alternativos [mp.eq.9].
dimensiones D
No aplica aplica =
Se garantizar la existencia y disponibilidad de medios alternativos de tratamiento de la

informacin para el caso de que fallen los medios habituales. Estos medios alternativos
estarn sujetos a las mismas garantas de proteccin.
Igualmente, se establecer un tiempo mximo para que los equipos alternativos entren
en funcionamiento.
5.4 Proteccin de las comunicaciones [mp.com].
5.4.1 Permetro seguro [mp.com.1].
dimensiones todas
aplica = +
Categora BSICA
Se dispondr un sistema cortafuegos que separe la red interna del exterior. Todo el
trfico deber atravesar dicho cortafuegos que slo dejara transitar los flujos previamente
autorizados.
Categora ALTA
a) El sistema de cortafuegos constar de dos o ms equipos de diferente fabricante
dispuestos en cascada.
b) Se dispondrn sistemas redundantes.
5.4.2 Proteccin de la confidencialidad [mp.com.2].
dimensiones C
no aplica aplica +
Nivel MEDIO
a) Se emplearn redes privadas virtuales cuando la comunicacin discurra por redes
fuera del propio dominio de seguridad.
Nivel ALTO
a) Se emplearn, preferentemente, dispositivos hardware en el establecimiento y
utilizacin de la red privada virtual.
b) Se emplearn productos certificados conforme a lo establecido en [op.pl.5].
5.4.3 Proteccin de la autenticidad y de la integridad [mp.com.3].
dimensiones I A
aplica + ++
Pgina 37
Nivel BAJO
a) Se asegurar la autenticidad del otro extremo de un canal de comunicacin antes de
intercambiar informacin (ver [op.acc.5]).
b) Se prevendrn ataques activos, garantizando que al menos sern detectados. y se
activarn los procedimientos previstos de tratamiento del incidente Se considerarn ataques
activos:
1. La alteracin de la informacin en trnsito.
2. La inyeccin de informacin espuria.
3. El secuestro de la sesin por una tercera parte.
c) Se aceptar cualquier mecanismo de autenticacin de los previstos en normativa de
aplicacin.
Nivel MEDIO
a) Se emplearn redes privadas virtuales cuando la comunicacin discurra por redes
fuera del propio dominio de seguridad.
c) Se aceptar cualquier mecanismo de autenticacin de los previstos en la normativa de
aplicacin. En caso de uso de claves concertadas se aplicarn exigencias medias en cuanto
a su calidad frente a ataques de adivinacin, diccionario o fuerza bruta.
Nivel ALTO
a) Se valorar positivamente el empleo de dispositivos hardware en el establecimiento y
utilizacin de la red privada virtual.
c) Se aceptar cualquier mecanismo de autenticacin de los previstos en normativa de
aplicacin. En caso de uso de claves concertadas se aplicarn exigencias altas en cuanto a
su calidad frente a ataques de adivinacin, diccionario o fuerza bruta.
5.4.4 Segregacin de redes [mp.com.4].
dimensiones todas
La segregacin de redes acota el acceso a la informacin y, consiguientemente, la

propagacin de los incidentes de seguridad, que quedan restringidos al entorno donde
ocurren.
Categora ALTA
La red se segmentar en segmentos de forma que haya:
a) Control de entrada de los usuarios que llegan a cada segmento.
b) Control de salida de la informacin disponible en cada segmento.
c) Las redes se pueden segmentar por dispositivos fsicos o lgicos. El punto de
interconexin estar particularmente asegurado, mantenido y monitorizado (como en
[mp.com.1]).
5.4.5 Medios alternativos [mp.com.9].
dimensiones D
Nivel ALTO
Se garantizar la existencia y disponibilidad de medios alternativos de comunicacin
para el caso de que fallen los medios habituales. Los medios alternativos de comunicacin:
Pgina 38
a) Estarn sujetos y proporcionar las mismas garantas de proteccin que el medio

habitual.
b) Garantizarn un tiempo mximo de entrada en funcionamiento.
5.5 Proteccin de los soportes de informacin [mp.si].
5.5.1 Etiquetado [mp.si.1].
dimensiones C
aplica = =
Los soportes de informacin se etiquetarn de forma que, sin revelar su contenido, se

indique el nivel de seguridad de la informacin contenida de mayor calificacin.
Los usuarios han de estar capacitados para entender el significado de las etiquetas, bien
mediante simple inspeccin, bien mediante el recurso a un repositorio que lo explique.
5.5.2 Criptografa [mp.si.2].
dimensiones I C
no aplica aplica +
Esta medida se aplica, en particular, a todos los dispositivos removibles. Se entendern

por dispositivos removibles, los CD, DVD, discos USB, u otros de naturaleza anloga.
Nivel MEDIO
Se aplicarn mecanismos criptogrficos que garanticen la confidencialidad y la integridad
de la informacin contenida.
Nivel ALTO
a) Se emplearn algoritmos acreditados por el Centro Criptolgico Nacional.
5.5.3 Custodia [mp.si.3].
dimensiones todas
aplica = =
Se aplicar la debida diligencia y control a los soportes de informacin que permanecen

bajo la responsabilidad de la organizacin, mediante las siguientes actuaciones:
a) Garantizando el control de acceso con medidas fsicas ([mp.if.1] y [mp.if.7]) lgicas
([mp.si.2]), o ambas.
b) Garantizando que se respetan las exigencias de mantenimiento del fabricante, en
especial, en lo referente a temperatura, humedad y otros agresores medioambientales.
5.5.4 Transporte [mp.si.4].
dimensiones todas
aplica = =
El responsable de sistemas garantizar que los dispositivos permanecen bajo control y

que satisfacen sus requisitos de seguridad mientras estn siendo desplazados de un lugar a
otro.
Para ello:
Pgina 39
a) Se dispondr de un registro de salida que identifique al transportista que recibe el

soporte para su traslado.
b) Se dispondr de un registro de entrada que identifique al transportista que lo entrega.
c) Se dispondr de un procedimiento rutinario que coteje las salidas con las llegadas y
levante las alarmas pertinentes cuando se detecte algn incidente.
d) Se utilizarn los medios de proteccin criptogrfica ([mp.si.2]) correspondientes al
nivel de calificacin de la informacin contenida de mayor nivel.
e) Se gestionarn las claves segn [op.exp.11].
5.5.5 Borrado y destruccin [mp.si.5].
dimensiones D
no aplica + =
La medida de borrado y destruccin de soportes de informacin se aplicar a todo tipo

de equipos susceptibles de almacenar informacin, incluyendo medios electrnicos y no
electrnicos.
Nivel BAJO
a) Los soportes que vayan a ser reutilizados para otra informacin o liberados a otra
organizacin sern objeto de un borrado seguro de su contenido.
Nivel MEDIO
b) Se destruirn de forma segura los soportes, en los siguientes casos:
1. Cuando la naturaleza del soporte no permita un borrado seguro.
2. Cuando as lo requiera el procedimiento asociado al tipo de informacin contenida.
c) Se emplearn productos certificados conforme a lo establecido en ([op. pl.5]).
5.6 Proteccin de las aplicaciones informticas [mp.sw].
5.6.1 Desarrollo de aplicaciones [mp.sw.1].
dimensiones Todas
categora bajo medio alto
no aplica aplica =
Categora MEDIA
a) El desarrollo de aplicaciones se realizar sobre un sistema diferente y separado del de
produccin, no debiendo existir herramientas o datos de desarrollo en el entorno de
produccin.
b) Se aplicar una metodologa de desarrollo reconocida que:
1. Tome en consideracin los aspectos de seguridad a lo largo de todo el ciclo de vida.
2. Trate especficamente los datos usados en pruebas.
3. Permita la inspeccin del cdigo fuente.
4. Incluya normas de programacin segura.
c) Los siguientes elementos sern parte integral del diseo del sistema:
1. Los mecanismos de identificacin y autenticacin.
2. Los mecanismos de proteccin de la informacin tratada.
3. La generacin y tratamiento de pistas de auditora.
d) Las pruebas anteriores a la implantacin o modificacin de los sistemas de
informacin no se realizarn con datos reales, salvo que se asegure el nivel de seguridad
correspondiente.
5.6.2 Aceptacin y puesta en servicio [mp.sw.2].
Pgina 40
dimensiones todas
aplica + ++
Categora BSICA
Antes de pasar a produccin se comprobar el correcto funcionamiento de la aplicacin.
a) Se comprobar que:
1. Se cumplen los criterios de aceptacin en materia de seguridad.
2. No se deteriora la seguridad de otros componentes del servicio.
b) Las pruebas se realizarn en un entorno aislado (pre-produccin).
c) Las pruebas de aceptacin no se realizarn con datos reales, salvo que se asegure el
nivel de seguridad correspondiente.
Categora MEDIA
Se realizarn las siguientes inspecciones previas a la entrada en servicio:
a) Anlisis de vulnerabilidades.
b) Pruebas de penetracin.
Categora ALTA
Se realizarn las siguientes inspecciones previas a la entrada en servicio:
a) Anlisis de coherencia en la integracin en los procesos.
b) Se considerar la oportunidad de realizar una auditora de cdigo fuente.
5.7 Proteccin de la informacin [mp.info].
5.7.1 Datos de carcter personal [mp.info.1].
dimensiones todas
aplica = =
Cuando el sistema trate datos de carcter personal, se estar a lo dispuesto en la Ley

Orgnica 15/1999, de 13 de diciembre, y normas de desarrollo, sin perjuicio de cumplir,
adems, las medidas establecidas por este real decreto.
Lo indicado en el prrafo anterior tambin se aplicar, cuando una disposicin con rango
de ley se remita a las normas sobre datos de carcter personal en la proteccin de
informacin.
5.7.2 Calificacin de la informacin [mp.info.2].
dimensiones C
aplica + =
Nivel BAJO
1. Para calificar la informacin se estar a lo establecido legalmente sobre la naturaleza
de la misma.
2. La poltica de seguridad establecer quin es el responsable de cada informacin
manejada por el sistema.
3. La poltica de seguridad recoger, directa o indirectamente, los criterios que, en cada
organizacin, determinarn el nivel de seguridad requerido, dentro del marco establecido en
el artculo 43 y los criterios generales prescritos en el Anexo I.
4. El responsable de cada informacin seguir los criterios determinados en el apartado
anterior para asignar a cada informacin el nivel de seguridad requerido, y ser responsable
de su documentacin y aprobacin formal.
Pgina 41
5. El responsable de cada informacin en cada momento tendr en exclusiva la potestad

de modificar el nivel de seguridad requerido, de acuerdo a los apartados anteriores.
Nivel MEDIO
Se redactarn los procedimientos necesarios que describan, en detalle, la forma en que
se ha de etiquetar y tratar la informacin en consideracin al nivel de seguridad que requiere;
y precisando cmo se ha de realizar:
a) Su control de acceso.
b) Su almacenamiento.
c) La realizacin de copias.
d) El etiquetado de soportes.
e) Su transmisin telemtica.
f) Y cualquier otra actividad relacionada con dicha informacin.
5.7.3 Cifrado de la informacin [mp.info.3].
dimensiones C
Nivel ALTO
Para el cifrado de informacin se estar a lo que se indica a continuacin:
a) La informacin con un nivel alto en confidencialidad se cifrar tanto durante su
almacenamiento como durante su transmisin. Slo estar en claro mientras se est
haciendo uso de ella.
b) Para el uso de criptografa en las comunicaciones, se estar a lo dispuesto en
[mp.com.2].
c) Para el uso de criptografa en los soportes de informacin, se estar a lo dispuesto en
[mp.si.2].
5.7.4 Firma electrnica [mp.info.4].
dimensiones I A
aplica + ++
Se emplear la firma electrnica como un instrumento capaz de permitir la comprobacin

de la autenticidad de la procedencia y la integridad de la informacin ofreciendo las bases
para evitar el repudio.
La integridad y la autenticidad de los documentos se garantizarn por medio de firmas
electrnicas con los condicionantes que se describen a continuacin, proporcionados a los
niveles de seguridad requeridos por el sistema.
En el caso de que se utilicen otros mecanismos de firma electrnica sujetos a derecho, el
sistema debe incorporar medidas compensatorias suficientes que ofrezcan garantas
equivalentes o superiores en lo relativo a prevencin del repudio, usando el procedimiento
previsto en el punto 5 del artculo 27.
Nivel BAJO
Se emplear cualquier tipo de firma electrnica de los previstos en la legislacin vigente.
Nivel MEDIO
a) Cuando se empleen sistemas de firma electrnica avanzada basados en certificados,
estos sern cualificados.
b) Se emplearn algoritmos y parmetros acreditados por el Centro Criptolgico
Nacional.
c) Se garantizar la verificacin y validacin de la firma electrnica durante el tiempo
requerido por la actividad administrativa que aqulla soporte, sin perjuicio de que se pueda
Pgina 42
ampliar este perodo de acuerdo con lo que establezca la Poltica de Firma Electrnica y de
Certificados que sea de aplicacin. Para tal fin:
d) Se adjuntar a la firma, o se referenciar, toda la informacin pertinente para su
verificacin y validacin:
1. Certificados.
2. Datos de verificacin y validacin.
e) El organismo que recabe documentos firmados por el administrado verificar y
validar la firma recibida en el momento de la recepcin, anexando o referenciando sin
ambigedad la informacin descrita en los epgrafes 1 y 2 del apartado d).
f) La firma electrnica de documentos por parte de la Administracin anexar o
referenciar sin ambigedad la informacin descrita en los epgrafes 1 y 2.
Nivel ALTO
1. Se usar firma electrnica cualificada, incorporando certificados cualificados y
dispositivos cualificados de creacin de firma.
2. Se emplearn productos certificados conforme a lo establecido en [op.pl.5].
5.7.5 Sellos de tiempo [mp.info.5].
dimensiones T
Nivel ALTO
Los sellos de tiempo prevendrn la posibilidad del repudio posterior:
1. Los sellos de tiempo se aplicarn a aquella informacin que sea susceptible de ser
utilizada como evidencia electrnica en el futuro.
2. Los datos pertinentes para la verificacin posterior de la fecha sern tratados con la
misma seguridad que la informacin fechada a efectos de disponibilidad, integridad y
confidencialidad.
3. Se renovarn regularmente los sellos de tiempo hasta que la informacin protegida ya
no sea requerida por el proceso administrativo al que da soporte.
4. Se utilizarn productos certificados (segn [op.pl.5]) o servicios externos admitidos
(vase [op.exp.10]).
5. Se emplearn "sellos cualificados de tiempo electrnicos" acordes con la normativa
europea en la materia.
5.7.6 Limpieza de documentos [mp.info.6].
dimensiones C
aplica = =
En el proceso de limpieza de documentos, se retirar de estos toda la informacin

adicional contenida en campos ocultos, meta-datos, comentarios o revisiones anteriores,
salvo cuando dicha informacin sea pertinente para el receptor del documento.
Esta medida es especialmente relevante cuando el documento se difunde ampliamente,
como ocurre cuando se ofrece al pblico en un servidor web u otro tipo de repositorio de
informacin.
Se tendr presente que el incumplimiento de esta medida puede perjudicar:
a) Al mantenimiento de la confidencialidad de informacin que no debera haberse
revelado al receptor del documento.
b) Al mantenimiento de la confidencialidad de las fuentes u orgenes de la informacin,
que no debe conocer el receptor del documento.
c) A la buena imagen de la organizacin que difunde el documento por cuanto demuestra
un descuido en su buen hacer.
Pgina 43
5.7.7 Copias de seguridad (backup) [mp.info.9].
dimensiones D
aplica = =
Se realizarn copias de seguridad que permitan recuperar datos perdidos, accidental o

intencionadamente con una antigedad determinada.
Estas copias poseern el mismo nivel de seguridad que los datos originales en lo que se
refiere a integridad, confidencialidad, autenticidad y trazabilidad. En particular, se
considerar la conveniencia o necesidad, segn proceda, de que las copias de seguridad
estn cifradas para garantizar la confidencialidad.
Las copias de seguridad debern abarcar:
g) Informacin de trabajo de la organizacin.
h) Aplicaciones en explotacin, incluyendo los sistemas operativos.
i) Datos de configuracin, servicios, aplicaciones, equipos, u otros de naturaleza
anloga.
j) Claves utilizadas para preservar la confidencialidad de la informacin.
5.8 Proteccin de los servicios [mp.s].
5.8.1 Proteccin del correo electrnico (e-mail) [mp.s.1].
dimensiones todas
aplica = =
El correo electrnico se proteger frente a las amenazas que le son propias, actuando
del siguiente modo:
a) La informacin distribuida por medio de correo electrnico, se proteger, tanto en el
cuerpo de los mensajes, como en los anexos.
b) Se proteger la informacin de encaminamiento de mensajes y establecimiento de
conexiones.
c) Se proteger a la organizacin frente a problemas que se materializan por medio del
correo electrnico, en concreto:
1. Correo no solicitado, en su expresin inglesa spam.
2. Programas dainos, constituidos por virus, gusanos, troyanos, espas, u otros de
naturaleza anloga.
3. Cdigo mvil de tipo applet.
d) Se establecern normas de uso del correo electrnico por parte del personal
determinado. Estas normas de uso contendrn:
1. Limitaciones al uso como soporte de comunicaciones privadas.
2. Actividades de concienciacin y formacin relativas al uso del correo electrnico.
5.8.2 Proteccin de servicios y aplicaciones web [mp.s.2].
dimensiones Todas
nivel bsica media alta
aplica = +
Los subsistemas dedicados a la publicacin de informacin debern ser protegidos

frente a las amenazas que les son propias.
Pgina 44
a) Cuando la informacin tenga algn tipo de control de acceso, se garantizar la

imposibilidad de acceder a la informacin obviando la autenticacin, en particular tomando
medidas en los siguientes aspectos:
1. Se evitar que el servidor ofrezca acceso a los documentos por vas alternativas al
protocolo determinado.
2. Se prevendrn ataques de manipulacin de URL.
3. Se prevendrn ataques de manipulacin de fragmentos de informacin que se
almacena en el disco duro del visitante de una pgina web a travs de su navegador, a
peticin del servidor de la pgina, conocido en terminologa inglesa como "cookies".
4. Se prevendrn ataques de inyeccin de cdigo.
b) Se prevendrn intentos de escalado de privilegios.
c) Se prevendrn ataques de "cross site scripting".
d) Se prevendrn ataques de manipulacin de programas o dispositivos que realizan una
accin en representacin de otros, conocidos en terminologa inglesa como "proxies" y,
sistemas especiales de almacenamiento de alta velocidad, conocidos en terminologa
inglesa como "cachs".
Nivel BAJO
Se emplearn "certificados de autenticacin de sitio web" acordes a la normativa
europea en la materia.
Nivel ALTO
Se emplearn "certificados cualificados de autenticacin del sitio web" acordes a la
normativa europea en la materia.
5.8.3 Proteccin frente a la denegacin de servicio [mp.s.8].
dimensiones D
No aplica aplica +
Nivel MEDIO
Se establecern medidas preventivas y reactivas frente a ataques de denegacin de
servicio (DOS Denial of Service). Para ello:
a) Se planificar y dotar al sistema de capacidad suficiente para atender a la carga
prevista con holgura.
b) Se desplegarn tecnologas para prevenir los ataques conocidos.
Nivel ALTO
a) Se establecer un sistema de deteccin de ataques de denegacin de servicio.
b) Se establecern procedimientos de reaccin a los ataques, incluyendo la
comunicacin con el proveedor de comunicaciones.
c) Se impedir el lanzamiento de ataques desde las propias instalaciones perjudicando a
terceros.
5.8.4 Medios alternativos [mp.s.9].
dimensiones D
Nivel ALTO
Se garantizar la existencia y disponibilidad de medios alternativos para prestar los
servicios en el caso de que fallen los medios habituales. Estos medios alternativos estarn
sujetos a las mismas garantas de proteccin que los medios habituales.
Pgina 45
6. Desarrollo y complemento de las medidas de seguridad

Las medidas de seguridad se desarrollarn y complementarn segn lo establecido en la
disposicin final segunda.
7. Interpretacin
La interpretacin del presente anexo se realizar segn el sentido propio de sus
palabras, en relacin con el contexto, antecedentes histricos y legislativos, entre los que
figura lo dispuesto en las instrucciones tcnicas CCN-STIC correspondientes a la
implementacin y a diversos escenarios de aplicacin tales como sedes electrnicas,
servicios de validacin de certificados electrnicos, servicios de fechado electrnico y
validacin de documentos fechados, atendiendo el espritu y finalidad de aquellas.
ANEXO III
Auditora de la seguridad
1. Objeto de la auditora.
1.1 La seguridad de los sistemas de informacin de una organizacin ser auditada en

los siguientes trminos:
a) Que la poltica de seguridad define los roles y funciones de los responsables de la
informacin, los servicios, los activos y la seguridad del sistema de informacin.
b) Que existen procedimientos para resolucin de conflictos entre dichos responsables.
c) Que se han designado personas para dichos roles a la luz del principio de "separacin
de funciones".
d) Que se ha realizado un anlisis de riesgos, con revisin y aprobacin anual.
e) Que se cumplen las recomendaciones de proteccin descritas en el anexo II, sobre
Medidas de Seguridad, en funcin de las condiciones de aplicacin en cada caso.
f) Que existe un sistema de gestin de la seguridad de la informacin, documentado y
con un proceso regular de aprobacin por la direccin.
1.2 La auditora se basar en la existencia de evidencias que permitan sustentar
objetivamente el cumplimiento de los puntos mencionados:
a) Documentacin de los procedimientos.
b) Registro de incidentes.
c) Examen del personal afectado: conocimiento y praxis de las medidas que le afectan.
d) Productos certificados. Se considerar evidencia suficiente el empleo de productos
que satisfagan lo establecido en el artculo 18 Adquisicin de productos y contratacin de
servicios de seguridad.
2. Niveles de auditora.
Los niveles de auditora que se realizan a los sistemas de informacin, sern los
siguientes:
2.1 Auditora a sistemas de categora BSICA.
a) Los sistemas de informacin de categora BSICA, o inferior, no necesitarn realizar
una auditora. Bastar una autoevaluacin realizada por el mismo personal que administra el
sistema de informacin, o en quien ste delegue.
El resultado de la autoevaluacin debe estar documentado, indicando si cada medida de
seguridad est implantada y sujeta a revisin regular y las evidencias que sustentan la
valoracin anterior.
b) Los informes de autoevaluacin sern analizados por el responsable de seguridad
competente, que elevar las conclusiones al responsable del sistema para que adopte las
medidas correctoras adecuadas.
Pgina 46
2.2 Auditora a sistemas de categora MEDIA O ALTA.

a) El informe de auditora dictaminar sobre el grado de cumplimiento del presente real
decreto, identificar sus deficiencias y sugerir las posibles medidas correctoras o
complementarias que sean necesarias, as como las recomendaciones que se consideren
oportunas. Deber, igualmente, incluir los criterios metodolgicos de auditora utilizados, el
alcance y el objetivo de la auditora, y los datos, hechos y observaciones en que se basen
las conclusiones formuladas.
b) Los informes de auditora sern analizados por el responsable de seguridad
competente, que presentar sus conclusiones al responsable del sistema para que adopte
las medidas correctoras adecuadas.
3. Interpretacin.
La interpretacin del presente anexo se realizar segn el sentido propio de sus
palabras, en relacin con el contexto, antecedentes histricos y legislativos, entre los que
figura lo dispuesto en la instruccin tcnica CCN-STIC correspondiente, atendiendo al
espritu y finalidad de aquellas.
ANEXO IV
Glosario
Activo. Componente o funcionalidad de un sistema de informacin susceptible de ser
atacado deliberada o accidentalmente con consecuencias para la organizacin. Incluye:
informacin, datos, servicios, aplicaciones (software), equipos (hardware), comunicaciones,
recursos administrativos, recursos fsicos y recursos humanos.
Anlisis de riesgos. Utilizacin sistemtica de la informacin disponible para identificar
peligros y estimar los riesgos.
Auditora de la seguridad. Revisin y examen independientes de los registros y
actividades del sistema para verificar la idoneidad de los controles del sistema, asegurar que
se cumplen la poltica de seguridad y los procedimientos operativos establecidos, detectar
las infracciones de la seguridad y recomendar modificaciones apropiadas de los controles,
de la poltica y de los procedimientos.
Autenticidad. Propiedad o caracterstica consistente en que una entidad es quien dice
ser o bien que garantiza la fuente de la que proceden los datos.
Categora de un sistema. Es un nivel, dentro de la escala Bsica-Media-Alta, con el que
se adjetiva un sistema a fin de seleccionar las medidas de seguridad necesarias para el
mismo. La categora del sistema recoge la visin holstica del conjunto de activos como un
todo armnico, orientado a la prestacin de unos servicios.
Confidencialidad. Propiedad o caracterstica consistente en que la informacin ni se pone
a disposicin, ni se revela a individuos, entidades o procesos no autorizados.
Disponibilidad. Propiedad o caracterstica de los activos consistente en que las entidades
o procesos autorizados tienen acceso a los mismos cuando lo requieren.
Firma electrnica. Conjunto de datos en forma electrnica, consignados junto a otros o
asociados con ellos, que pueden ser utilizados como medio de identificacin del firmante.
Gestin de incidentes. Plan de accin para atender a los incidentes que se den. Adems
de resolverlos debe incorporar medidas de desempeo que permitan conocer la calidad del
sistema de proteccin y detectar tendencias antes de que se conviertan en grandes
problemas.
Gestin de riesgos. Actividades coordinadas para dirigir y controlar una organizacin con
respecto a los riesgos.
Incidente de seguridad. Suceso inesperado o no deseado con consecuencias en
detrimento de la seguridad del sistema de informacin.
Integridad. Propiedad o caracterstica consistente en que el activo de informacin no ha
sido alterado de manera no autorizada.
Medidas de seguridad. Conjunto de disposiciones encaminadas a protegerse de los
riesgos posibles sobre el sistema de informacin, con el fin de asegurar sus objetivos de
Pgina 47
seguridad. Puede tratarse de medidas de prevencin, de disuasin, de proteccin, de

deteccin y reaccin, o de recuperacin.
Poltica de firma electrnica. Conjunto de normas de seguridad, de organizacin,
tcnicas y legales para determinar cmo se generan, verifican y gestionan firmas
electrnicas, incluyendo las caractersticas exigibles a los certificados de firma.
Poltica de seguridad. Conjunto de directrices plasmadas en documento escrito, que
rigen la forma en que una organizacin gestiona y protege la informacin y los servicios que
considera crticos.
Principios bsicos de seguridad. Fundamentos que deben regir toda accin orientada a
asegurar la informacin y los servicios.
Proceso. Conjunto organizado de actividades que se llevan a cabo para producir a un
producto o servicio; tiene un principio y fin delimitado, implica recursos y da lugar a un
resultado.
Proceso de seguridad. Mtodo que se sigue para alcanzar los objetivos de seguridad de
la organizacin. El proceso se disea para identificar, medir, gestionar y mantener bajo
control los riesgos a que se enfrenta el sistema en materia de seguridad.
Requisitos mnimos de seguridad. Exigencias necesarias para asegurar la informacin y
los servicios.
Riesgo. Estimacin del grado de exposicin a que una amenaza se materialice sobre
uno o ms activos causando daos o perjuicios a la organizacin.
Seguridad de las redes y de la informacin, es la capacidad de las redes o de los
sistemas de informacin de resistir, con un determinado nivel de confianza, los accidentes o
acciones ilcitas o malintencionadas que comprometan la disponibilidad, autenticidad,
integridad y confidencialidad de los datos almacenados o transmitidos y de los servicios que
dichas redes y sistemas ofrecen o hacen accesibles.
Servicios acreditados. Servicios prestados por un sistema con autorizacin concedida
por la autoridad responsable, para tratar un tipo de informacin determinada, en unas
condiciones precisas de las dimensiones de seguridad, con arreglo a su concepto de
operacin.
Sistema de gestin de la seguridad de la informacin (SGSI). Sistema de gestin que,
basado en el estudio de los riesgos, se establece para crear, implementar, hacer funcionar,
supervisar, revisar, mantener y mejorar la seguridad de la informacin. El sistema de gestin
incluye la estructura organizativa, las polticas, las actividades de planificacin, las
responsabilidades, las prcticas, los procedimientos, los procesos y los recursos.
Sistema de informacin. Conjunto organizado de recursos para que la informacin se
pueda recoger, almacenar, procesar o tratar, mantener, usar, compartir, distribuir, poner a
disposicin, presentar o transmitir.
Trazabilidad. Propiedad o caracterstica consistente en que las actuaciones de una
entidad pueden ser imputadas exclusivamente a dicha entidad.
Vulnerabilidad. Una debilidad que puede ser aprovechada por una amenaza.
Acrnimos
CCN: Centro Criptolgico Nacional.
CERT: Computer Emergency Reaction Team.
INTECO: Instituto Nacional de Tecnologas de la Comunicacin.
STIC: Seguridad de las Tecnologas de Informacin y Comunicaciones.
ANEXO V
Modelo de clusula administrativa particular
Clusula administrativa particular.En cumplimiento con lo dispuesto en el artculo 115.4
del Real Decreto Legislativo 3/2011, de 14 de noviembre, por el que se aprueba el texto
refundido de la Ley de Contratos del Sector Pblico, y en el artculo 18 del Real Decreto
3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el mbito
de la Administracin Electrnica, el licitador incluir referencia precisa, documentada y
acreditativa de que los productos de seguridad, servicios, equipos, sistemas, aplicaciones o
Pgina 48
sus componentes, cumplen con lo indicado en la medida op.pl.5 sobre componentes

certificados, recogida en el apartado 4.1.5 del anexo II del citado Real Decreto 3/2010, de 8
de enero.
Cuando estos sean empleados para el tratamiento de datos de carcter personal, el
licitador incluir, tambin, lo establecido en la Disposicin adicional nica del Real Decreto
1720/2007, de 21 de diciembre, por el que se aprueba el reglamento de desarrollo de la Ley
Orgnica 15/1999, de 13 de diciembre, de proteccin de datos de carcter personal.
Este texto consolidado no tiene valor jurdico.

Ms informacin en info@boe.es
Pgina 49

BOE A 2010 1330 Consolidado PDF

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

BOE A 2010 1330 Consolidado PDF

Enviado por

Direitos autorais:

Formatos disponíveis

LEGISLACIN CONSOLIDADA

Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema

En este contexto se entiende por seguridad de las redes y de la informacin, la

normacin, y permite ser completada, mediante la regulacin de los objetivos, materialmente

Artculo 2. Definiciones y estndares.

Artculo 3. mbito de aplicacin.

Artculo 4. Principios bsicos del Esquema Nacional de Seguridad.

Artculo 5. La seguridad como un proceso integral.

Artculo 6. Gestin de la seguridad basada en los riesgos.

Artculo 7. Prevencin, reaccin y recuperacin.

3. Las medidas de deteccin estarn acompaadas de medidas de reaccin, de forma

Artculo 8. Lneas de defensa.

Artculo 9. Reevaluacin peridica.

Artculo 10. La seguridad como funcin diferenciada.

Artculo 11. Requisitos mnimos de seguridad.

h) Seguridad por defecto.

Artculo 12. Organizacin e implantacin del proceso de seguridad.

Artculo 13. Anlisis y gestin de los riesgos.

Artculo 14. Gestin de personal.

Artculo 15. Profesionalidad.

2. El personal de las Administraciones pblicas recibir la formacin especfica necesaria

Artculo 16. Autorizacin y control de los accesos.

Artculo 17. Proteccin de las instalaciones.

Artculo 18. Adquisicin de productos de seguridad y contratacin de servicios de

Artculo 19. Seguridad por defecto.

Artculo 20. Integridad y actualizacin del sistema.

Artculo 21. Proteccin de informacin almacenada y en trnsito.

Artculo 22. Prevencin ante otros sistemas de informacin interconectados.

Artculo 23. Registro de actividad.

Artculo 24. Incidentes de seguridad.

Artculo 25. Continuidad de la actividad.

Artculo 26. Mejora continua del proceso de seguridad.

Artculo 27. Cumplimiento de requisitos mnimos.

Artculo 28. Infraestructuras y servicios comunes.

Artculo 29. Instrucciones tcnicas de seguridad y guas de seguridad.

Artculo 30. Sistemas de informacin no afectados.

Artculo 31. Condiciones tcnicas de seguridad de las comunicaciones electrnicas.

Artculo 32. Requerimientos tcnicos de notificaciones y publicaciones electrnicas.

Artculo 33. Firma electrnica.

Artculo 34. Auditora de la seguridad.

2. Esta auditora se realizar en funcin de la categora del sistema, determinada segn

Artculo 35. Informe del estado de la seguridad.

Artculo 36. Capacidad de respuesta a incidentes de seguridad de la informacin.

Artculo 37. Prestacin de servicios de respuesta a incidentes de seguridad a las

Artculo 38. Sedes y registros electrnicos.

Artculo 39. Ciclo de vida de servicios y sistemas.

Artculo 40. Mecanismos de control.

Artculo 41. Publicacin de conformidad.

Artculo 42. Actualizacin permanente.

Artculo 43. Categoras.

Artculo 44. Facultades.

Disposicin adicional primera. Formacin.

Disposicin adicional segunda. Comit de Seguridad de la Informacin de las

Esquema Nacional de Seguridad y en las normas, instrucciones, guas y recomendaciones

Disposicin adicional tercera. Modificacin del Reglamento de desarrollo de la Ley

Disposicin adicional cuarta. Desarrollo del Esquema Nacional de Seguridad.

Disposicin transitoria. Adecuacin de sistemas.

Disposicin derogatoria nica.

Disposicin final primera. Ttulo habilitante.

Disposicin final segunda. Desarrollo normativo.

Disposicin final tercera. Entrada en vigor.

a) Nivel BAJO. Se utilizar cuando las consecuencias de un incidente de seguridad que

2. Determinacin de la categora del sistema, segn lo establecido en el apartado 4.