CONTENIDOS MNIMOS

PLAN DE PROTECCIN ESPECFICO

(PPE)






Texto refundido a partir de las siguientes Resoluciones:

Resolucin de 15 de noviembre de 2011, de la Secretara de Estado de Seguridad,
por la que se establecen los contenidos mnimos de los planes de seguridad del
operador y planes de proteccin especficos conforme a lo dispuesto en el Real
Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento de
proteccin de infraestructuras crticas.

Resolucin de 29 de noviembre de 2011, de la Secretara de Estado de Seguridad,
por la que se corrigen errores en la de 15 de noviembre de 2011, por la que se
establecen los contenidos mnimos de los planes de seguridad del operador y planes
de proteccin especficos conforme a lo dispuesto en el Real Decreto 704/2011, de
20 de mayo, por el que se aprueba el Reglamento de proteccin de infraestructuras
crticas.


GABINETE DE COORDINACIN
SECRETARA DE ESTADO
DE SEGURIDAD


DE SEGURIAD
GABINETE DE
COORDINACION


MINISTERIO DEL INTERIOR
______________________
SECRETARIA DE ESTADO
DE SEGURIDAD

2

Contenidos Mnimos
Plan de Proteccin Especfico (PPE)
ndice
1.- Introduccin.
1.1 Base legal.
1.2 Objetivo de este documento.
1.3 Finalidad y contenido del PPE.
1.4 Mtodo de revisin y actualizacin.
1.5 Proteccin y gestin de la informacin y documentacin.
2.- Aspectos organizativos.
2.1 Delegados de seguridad de las infraestructuras crticas.
2.2 Mecanismos de coordinacin.
2.3 Mecanismos y responsables de aprobacin.

3.- Descripcin de la infraestructura crtica.
3.1 Datos generales de la infraestructura crtica.
3.2 Activos / elementos de la IC.
3.3 Interdependencias.
4.- Resultados del anlisis de riesgos.
4.1 Amenazas consideradas.
4.2 Medidas existentes.
4.2.1 Organizativas o de gestin.
4.2.2 Operacionales o procedimentales.
4.2.3 De proteccin o tcnicas.
4.3 Valoracin de riesgos.
5.- Plan de accin propuesto (por activo).
6.- Documentacin complementaria.




MINISTERIO
DEL INTERIOR
SECRETARA DE ESTADO DE
SEGURIDAD
GABINETE DE COORDINACIN

MINISTERIO DEL INTERIOR
______________________
SECRETARIA DE ESTADO
DE SEGURIDAD

3
1. Introduccin
1.1 Base legal
Segn establece la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la
proteccin de las infraestructuras crticas, el operador designado como crtico se
integrar como agente del sistema de proteccin de infraestructuras crticas, debiendo
cumplir con una serie de responsabilidades recogidas en su artculo 13. De acuerdo con
el punto 1, letra d, del citado artculo, el Operador deber elaborar un Plan de
Proteccin Especfico (en adelante PPE) por cada una de las infraestructuras crticas de
las que sea propietario o gestor.
El Real Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento de
proteccin de las infraestructuras crticas, a travs del cual se da desarrollo reglamentario a
la Ley 8/2011, establece, en su captulo IV del Ttulo III sobre los Instrumentos de
Planificacin, aquellos aspectos relativos a la elaboracin, finalidad y contenido de dichos
planes, formas de revisin y actualizacin, autoridades encargadas de su aplicacin y
seguimiento y compatibilidad con otros planes ya existentes.
En este sentido, y conforme al artculo 25.5 de dicho Real Decreto, se asigna a la
Secretara de Estado de Seguridad, a travs del CNPIC, la responsabilidad de establecer
los contenidos mnimos de los PPE, as como el modelo en el que fundamentar su
estructura y complecin, sobre la base de las directrices y criterios marcados por el Plan
de Seguridad del Operador (PSO).
En el PPE, el Operador Crtico pblico o privado recoger de forma prctica los
siguientes aspectos y criterios incluidos en su Plan de Seguridad del Operador, que
afecten de manera especfica a esa instalacin:
Aspectos relativos a su poltica general de seguridad.
Desarrollo de la metodologa de anlisis de riesgos que garantice la continuidad de los
servicios proporcionados por dicho operador a travs de esa infraestructura crtica (IC).
Desarrollo de los criterios de aplicacin de las diferentes medidas de seguridad que se
implanten para hacer frente a las amenazas, tanto fsicas como lgicas, identificadas en
relacin con cada una de las tipologas de los activos existentes en esa infraestructura.



MINISTERIO DEL INTERIOR
______________________
SECRETARIA DE ESTADO
DE SEGURIDAD

4
1.2 Objetivo de este Documento
Con el presente documento se pretende dar cumplimiento a las instrucciones
emanadas del Real Decreto 704/2011, estableciendo los contenidos mnimos sobre los
que se debe de apoyar el operador a la hora de elaborar su respectivo PPE en las
instalaciones catalogadas como crticas. A su vez, se establecen algunos puntos
explicativos sobre aspectos recogidos en la Ley 8/2011 y el Real Decreto 704/2011.
1.3 Finalidad y Contenido del PPE
Los PPE son los documentos operativos donde se definen las medidas concretas a
poner en marcha por los operadores crticos para garantizar la seguridad integral (fsica y
lgica) de sus infraestructuras crticas.
Adems de un ndice referenciado a los contenidos del Plan, los PPE debern contener,
al menos, la siguiente informacin especfica sobre la infraestructura a proteger
Organizacin de la seguridad.
Descripcin de la infraestructura.
Resultado del anlisis de riesgos:
Medi das de seguri dad (tanto l as existentes como l as que sea necesari o
implementar) permanentes, temporales y graduales para las diferentes tipologas de
activos a proteger y segn los distintos niveles de amenaza declarados a nivel nacional.
Plan de Accin propuesto (por activo)
Los PPE debern estar alineados con las pautas establecidas en la Poltica General de
Seguridad del Operador reflejada en el PSO. Asimismo, los anlisis de riesgos,
vulnerabilidades y amenazas que se lleven a cabo, estarn sujetos a las pautas
metodolgicas descritas en el PSO.
1.4 Mtodo de Revisin y Actualizacin
Conforme al artculo 27 del Real Decreto por el que se aprueba el Reglamento de
proteccin de las infraestructuras crticas, entre las obligaciones del operador, adems de
la elaboracin y presentacin del PPE al Centro Nacional de Proteccin de Infraestructuras
Crticas (en adelante CNPIC), se incluye su revisin y actualizacin peridica:
Revisin: Bienal.

MINISTERIO DEL INTERIOR
______________________
SECRETARIA DE ESTADO
DE SEGURIDAD

5
Actualizacin: cuando se produzca una modificacin en los datos incluidos dentro del
PPE. En este caso, el PPE quedar actualizado cuando dichas modificaciones hayan sido
validadas por el CNPIC, o en las condiciones establecidas en su normativa sectorial
especfica.
1.5 Proteccin y Gestin de la Informacin y Documentacin
La informacin asociada con los PPE y aquella relativa a los anlisis de riesgos y las
medidas de seguridad implantadas sobre las infraestructuras crticas a las que hacen
referencia es de carcter sensible, por lo que, en este sentido, el operador deber definir
sus procedimientos de tratamiento de dicha informacin, as como los estndares de
seguridad precisos para prestar una adecuada y eficaz proteccin de la informacin
utilizados, independientemente del formato en el que sta se encuentre.
Adems, los operadores designados como crticos, debern tratar los documentos
que se deriven de la aplicacin de la Ley 8/2011 y su desarrollo normativo a travs del
Real Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento de
proteccin de las infraestructuras, segn el grado de clasificacin que se derive de las
citadas normas.
En virtud de la disposicin adicional segunda de la ley 08/2011, la clasificacin del PPE
constar de forma expresa en el instrumento de su aprobacin. A tal fin, el tratamiento de
los PPE deber estar regido conforme a las orientaciones publicadas por la Autoridad
Nacional para la Proteccin de la Informacin Clasificada del Centro Nacional de
Inteligencia en lo que se refiere al manejo y custodia de informacin clasificada con grado
de Difusin Limitada.
Las orientaciones de referencia se encuentran recogidas en los siguientes
documentos:

SEGURIDAD DOCUMENTAL
OR-ASIP-04-01.03 Orientaciones para el Manejo de Informacin Clasificada con Grado
de Difusin Limitada.
SEGURIDAD EN EL PERSONAL
OR-ASIP-02-02.02 Instruccin de Seguridad del Personal para acceso a Informacin
Clasificada.


MINISTERIO DEL INTERIOR
______________________
SECRETARIA DE ESTADO
DE SEGURIDAD

6
SEGURIDAD FSICA
OR-ASIP-01-01.02 Orientaciones para el Plan de Proteccin de una Zona de Acceso
Restringido.
OR-ASIP-01-02.02 Orientaciones para la Constitucin de Zonas de Acceso Restringido.
2. Aspectos Organizativos
2.1 Delegados de Seguridad de las Infraestructuras
Conforme al artculo 17 de la Ley 8/2011, el Operador Crtico con infraestructuras
designadas como crticas o criticas europeas comunicar a las Delegaciones del Gobierno
o, en su caso al rgano competente de la Comunidad Autnoma con competencias
estatutariamente reconocidas para la proteccin de personas y bienes y para el
mantenimiento del orden pblico donde aquellas se ubiquen, la persona designada como
Delegado de Seguridad y su sustituto para cada una de dichas infraestructuras.
El Operador Crtico deber hacer constar en este apartado el nombre y datos de
contacto (direccin, telfonos y email) de la persona que fue designado como Delegado de
Seguridad as como de su sustituto, cumpliendo los plazos establecidos desde su
designacin, as como su participacin a las Autoridades correspondientes, segn lo
establecido en el artculo 35.1 del Real Decreto 704/2011.
Sus funciones en relacin con el artculo 35.2 del Real Decreto 704/2011, son las
siguientes:
Ser el enlace operativo y el canal de informacin con las autoridades competentes en
materia relativa a la seguridad de sus infraestructuras.
Canalizar las necesidades operativas e informativas que surjan.
Coordinarse adecuadamente con el Responsable de Seguridad y Enlace y, en su caso,
con los otros Delegados de Seguridad del Operador Crtico.
El Operador Crtico deber reflejar en este apartado los cursos o formacin que el
Delegado de Seguridad haya recibido, relacionados con las habilidades necesarias para el
desempeo del puesto, de acuerdo con el Plan de Formacin previsto en el PSO.



MINISTERIO DEL INTERIOR
______________________
SECRETARIA DE ESTADO
DE SEGURIDAD

7
2.2 Mecanismos de Coordinacin
El Operador Crtico deber reflejar dentro de su PPE los mecanismos existentes de
coordinacin:
Entre el Delegado de Seguridad de la Infraestructura Crtica (IC) con otros Delegados
de otras ICs y con el Responsable de Seguridad y Enlace del propio Operador.
Con Autoridades y terceros (Fuerzas y Cuerpos de Seguridad del Estado/ Cuerpos
Policiales autonmicos y locales / CNPIC /otros).
Con otros planes existentes del Operador (planes de continuidad de negocio, planes de
evacuacin, etc.).
2.3 Mecanismos y Responsables de Aprobacin
El Operador deber incluir dentro del PPE los siguientes aspectos relativos a su
aprobacin interna:
Responsables de su aprobacin.
Procedimiento que se sigue para su aprobacin.
Fecha en la que se produjo su ltima aprobacin.
3. Descripcin de la Infraestructura
3.1 Datos Generales de la Infraestructura
El Operador Crtico deber incluir los siguientes datos e informacin sobre la
infraestructura a proteger:
Generales, relativos a la denominacin y tipo de instalacin, propiedad y gestin de la
misma.
Sobre localizacin fsica y estructura (localizacin, planos generales, fotografas,
componentes, etc.)
Sobre los sistemas TIC que gestionan la IC y su arquitectura (mapa de red, mapa de
comunicaciones, mapa de sistemas, etc.).


MINISTERIO DEL INTERIOR
______________________
SECRETARIA DE ESTADO
DE SEGURIDAD

8
Datos estratgicos:
o Descripcin del servicio esencial que proporciona y el mbito geogrfico o
poblacional del mismo.
o Relacin con otras posibles infraestructuras necesarias para la prestacin de
ese servicio esencial.
o Descripcin de sus funciones y de su relacin con los servicios esenciales
soportados.
3.2 Activos/Elementos de la IC
Se incluirn en este apartado los activos que soportan la infraestructura crtica,
diferenciando aquellos que son vitales de los que no lo son. En concreto se detallarn:
Las instalaciones o componentes de la IC que son necesarios y por lo tanto vitales para
la prestacin del servicio esencial.
Los sistemas informticos (hardware y software) utilizado.
Las redes de comunicaciones que permiten intercambiar datos y que se utilicen para
dicha IC.
Las personas o grupos de personas que explotan u operan todos los elementos
anteriormente citados.
Los proveedores crticos que son necesarios para el funcionamiento de dicha IC.
Del mismo modo, se especificarn las dependencias existentes entre los diferentes
activos que soportan o componen la IC. La informacin anterior deber ser la suficiente
para recoger de manera explcita el alcance de la infraestructura a proteger y con el mismo
nivel de granularidad que se haya establecido dentro del PSO.
3.3 Interdependencias
En relacin con el concepto de interdependencias recogido en el artculo 2. j) de la Ley,
pueden existir efectos y repercusiones que afecten los servicios esenciales y las
infraestructuras crticas propias y/o de otros operadores, tanto dentro del mismo sector
como en mbitos diferentes. Estas interdependencias debern ser en todo caso
consideradas en el anlisis de riesgos que realicen los operadores para la IC de que se
trate, en el marco del PPE.

MINISTERIO DEL INTERIOR
______________________
SECRETARIA DE ESTADO
DE SEGURIDAD

9
El Operador Crtico deber hacer referencia dentro de sus diferentes PPE a las
interdependencias que, en su caso, identifique, explicando brevemente el motivo que las
origina:
Con otras infraestructuras crticas del propio Operador.
Con otras infraestructuras crticas de otros Operadores.
Con otras infraestructuras estratgicas que soportan el servicio esencial.
4. Resultados del anlisis de riesgos
El Operador Crtico deber reflejar en su PPE los resultados del anlisis de riesgos
realizado sobre la infraestructura crtica. Dicho anlisis de riesgos deber seguir las pautas
metodolgicas recogidas en su PSO.
A continuacin se reflejan los contenidos mnimos relativos al anlisis de riesgos
realizado que el operador deber incluir dentro del PPE.
4.1 Amenazas Consideradas
En el marco de la normativa de proteccin de infraestructuras crticas, y de cara a
garantizar la adecuada proteccin de las infraestructuras crticas, el Operador Crtico
deber considerar de forma especial aquellas amenazas de origen terrorista o
intencionado. El Operador deber indicar expresamente las amenazas que ha considerado
para la realizacin de los anlisis de riesgos, plasmando al menos:
Las amenazas intencionadas, tanto de tipo fsico como lgico, que afecten de forma
especfica a alguno de los activos que soportan infraestructura crtica.
Las amenazas que puedan afectar directamente a la infraestructura procedente de las
interdependencias identificadas, sean stas deliberadas o no.
Las dirigidas al entorno cercano o elementos interdependientes tanto del ante-permetro
fsico como lgico que puedan afectar a la infraestructura.
Las amenazas que afecten a los sistemas de informacin que den soporte a la
operacin de la infraestructura crtica y todos los que estn conectados a dichos
sistemas sin contar con las adecuadas medidas de segmentacin.

MINISTERIO DEL INTERIOR
______________________
SECRETARIA DE ESTADO
DE SEGURIDAD

10
4.2 Medidas de Seguridad
El Operador deber describir las medidas de seguridad (medidas de proteccin de las
instalaciones, equipos, datos, software de base y aplicativos, personal y documentacin)
implantadas en la actualidad, con las que se ha contado para la realizacin del anlisis de
riesgos. Deber distinguir entre las medidas de carcter permanente, y aquellas
temporales y graduales.
Por medidas permanentes se entienden aquellas medidas concretas ya adoptadas por
el Operador Crtico, as como aquellas que considere necesarias instalar en funcin del
resultado del anlisis de riesgo realizado respecto de los riesgos, amenazas y
consecuencias/impacto sobre sus activos, dirigidas todas ellas a garantizar la seguridad
integral de su instalacin catalogada como crtica de manera continua.
Por medidas temporales y graduales se entienden aquellas medidas de seguridad de
carcter extraordinario que reforzarn a las permanentes y que se debern implementar a
raz de la activacin de alguno de los niveles de seguridad establecidos respectivamente
en el Plan Nacional de Proteccin de las Infraestructuras Crticas (artculo 16.3 del RD
704/2011), o bien como consecuencia de las comunicaciones que las autoridades
competentes puedan efectuar al Operador Crtico en relacin con una amenaza concreta y
temporal sobre la instalacin por l gestionada.
Dichas medidas debern permanecer activas durante el tiempo que est establecido el
nivel de alarma, modificndose gradualmente en funcin de dicho nivel.
Para su mejor comprensin, se recomienda una aproximacin por capas,
especificando para cada nivel las medidas de prevencin y proteccin, el tiempo de
respuesta y el tiempo de recuperacin.
En concreto, el Operador deber describir las medidas de que dispone relativas a:
4.2.1 Medidas Organizativas o de Gestin
El Operador deber indicar si dispone de al menos de las siguientes medidas
organizativas o de gestin, y el alcance de cada una de ellas:
Anlisis de Riesgos: Evaluacin y valoracin de las amenazas, impactos y
probabilidades para obtener un nivel de riesgo.
Definicin de roles y responsabilidades: Asignacin de responsabilidades en materia de
seguridad.
Cuerpo normativo definido: Polticas, procedimientos y estndares de seguridad.

MINISTERIO DEL INTERIOR
______________________
SECRETARIA DE ESTADO
DE SEGURIDAD

11
Normas y/o regulaciones de aplicacin a la infraestructura crtica, as como
identificacin de su nivel de cumplimiento.
Certificacin, acreditacin y evaluacin de seguridad obtenidas para la infraestructura
crtica.
4.2.2 Medidas Operacionales o Procedimentales
El operador deber indicar si dispone de al menos las siguientes medidas
operacionales o procedimentales, y el alcance de cada una de ellas.
Procedimientos para la realizacin, gestin y mantenimiento de activos:
o Procedimiento de inventariado (Identificacin/Catalogacin/etc.):
-Activos fsicos.
-Activos lgicos.
o Procedimiento de gestin contina de activos fsicos y lgicos
(Alta/Baja/Modificacin).
o Etc.
Procedimientos de formacin, concienciacin y capacitacin (tanto general como
especfica) para
o Empleados/Operarios.
o Personal de seguridad.
o Etc.
Procedimientos de Contingencia / Recuperacin, en funcin de los escenarios de
contingencia que hayan sido definidos.
Procedimientos operativos para la monitorizacin, supervisin y evaluacin/auditora
de:
o Activos Fsicos de la infraestructura (Alcance / Operacin / Seguimiento).
o Activos Lgicos o de sistemas de operacin (Alcance / Operacin /
Seguimiento).


MINISTERIO DEL INTERIOR
______________________
SECRETARIA DE ESTADO
DE SEGURIDAD

12
Procedimientos para la gestin de acceso:
o Gestin de usuarios: Altas, bajas y modificaciones, procesos de seleccin,
rgimen interno, procedimientos de cese.
o Control de accesos temporales:
-De personas, vehculos, etc. al recinto general o a recintos
restringidos.
-Identificadores de usuario temporal de los sistemas
(mantenimiento).
o Control de entradas y salidas:
-Paquetera, correspondencia, etc.
-Soportes, equipos e informacin (medidas y tecnologas de
prevencin de fuga de informacin).
Procedimientos operacionales del personal de seguridad (funciones, horarios,
dotaciones, etc.).
Procedimientos de gestin y respuesta de incidentes.
4.2.3 Medidas De proteccin o Tcnicas
Medidas de Prevencin y Deteccin:
o Medidas y elementos de seguridad fsica y electrnica para la proteccin del
permetro y control de accesos:
-Vallas, zonas de seguridad, detectores de intrusos, cmaras de
video vigilancia / CCTV, puertas y esclusas, cerraduras, lectores de matrculas, arcos
de seguridad, tornos, scanners, tarjetas activas, lectores de tarjetas, etc.
o Medidas y elementos de seguridad lgica:
-Firewalls, DMZ, IPSs, segmentacin y aislamiento de redes, cifrado,
VPNs, elementos y medidas de control de acceso de usuarios (tokens, controles
biomtricos, etc.), medidas de instalacin y configuracin segura de elementos
tcnicos, correladores de eventos y logs, proteccin frente Malware, etc.
o Otros.

MINISTERIO DEL INTERIOR
______________________
SECRETARIA DE ESTADO
DE SEGURIDAD

13
Coordinacin y Monitorizacin:
o Centro de Control de Seguridad (control de alarmas, recepcin y visionado de
imgenes, etc.).
o Equipos de vigilancia (turnos, rondas, volumen, etc.).
o Sistemas de comunicacin.
o Otros.
4.3 Valores de Riesgo
En este apartado se describirn las principales conclusiones obtenidas en el anlisis de
riesgos. Para cada par activo / amenaza se deber especificar la valoracin efectuada,
sobre la base de los criterios especificados en la metodologa de anlisis de riesgos
detallada en el PSO. Dentro de este apartado deber incluirse, para cada par activo /
amenaza, la siguiente informacin:
Quin ha evaluado / aprobado el riesgo y la estrategia de tratamiento asociada.
Criterios de valoracin de riesgos adoptados.
Fecha del ltimo anlisis llevado a cabo.
Resultado / conclusin sobre el nivel de riesgo soportado.
En particular, debern detallarse los riesgos asumidos con niveles de impacto elevado
y baja probabilidad, que debern ser validados por el CNPIC.
5. Plan de accin propuesto (por activo)
En caso de ser pertinente y preverse la disposicin de medidas complementarias a las
existentes a implementar en los prximos tres aos, se deber describir, como parte
integrante del PPE:
La enumeracin de las medidas complementarias a disponer (fsicas o lgicas)
Una explicacin de la operativa resultante para cada tipo de proteccin (fsico y lgico)
y para cada uno de los horarios significativos, segn el orden del apartado 4.2.

MINISTERIO DEL INTERIOR
______________________
SECRETARIA DE ESTADO
DE SEGURIDAD

14
El Operador deber especificar el conjunto detallado de medidas a aplicar para
proteger el activo como consecuencia de los resultados obtenidos en el anlisis de
riesgos. En concreto, deber incluir la siguiente informacin:
Accin propuesta, con detalle de su mbito (alcance) de aplicacin.
Activo de aplicacin.
Responsables de su implantacin, plazos, mecanismos de coordinacin y
seguimiento, etc.
Carcter permanente, temporal o gradual de la medida.
6. Documentacin complementaria
El Operador Crtico incorporar como anexo la planimetra general de la instalacin
o sistema y de sus sistemas de informacin, as como aquellos otros planos que
incorporen la ubicacin de las medidas de seguridad implementadas. A su vez, se podr
adjuntar aquella otra informacin que se pueda generar de los diferentes apartados de
este documento.
Se har una breve referencia a todos aquellos planes de diferente tipo (emergencia,
autoproteccin, etc.), que afecten a la instalacin o sistema con el fin de establecer una
adecuada coordinacin entre ellos, as como toda aquella normativa y buenas prcticas
que regulen el buen funcionamiento del servicio esencial prestado por esa infraestructura y
los motivos por los cuales le son de aplicacin.
La normativa a incluir comprender tanto las de rango nacional, autonmico,
europeo e internacional, como las sectoriales, relativas a :
Seguridad Fsica.
Seguridad Lgica.
Seguridad de la Informacin en cualquiera de sus mbitos.
Seguridad Personal.
Seguridad Ambiental.
Autoproteccin y Prevencin de Riesgos Laborales.
Madrid, 29 de noviembre de 2011