Texto refundido a partir de las siguientes Resoluciones:
Resolucin de 15 de noviembre de 2011, de la Secretara de Estado de Seguridad, por la que se establecen los contenidos mnimos de los planes de seguridad del operador y planes de proteccin especficos conforme a lo dispuesto en el Real Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento de proteccin de infraestructuras crticas.
Resolucin de 29 de noviembre de 2011, de la Secretara de Estado de Seguridad, por la que se corrigen errores en la de 15 de noviembre de 2011, por la que se establecen los contenidos mnimos de los planes de seguridad del operador y planes de proteccin especficos conforme a lo dispuesto en el Real Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento de proteccin de infraestructuras crticas.
GABINETE DE COORDINACIN SECRETARA DE ESTADO DE SEGURIDAD
DE SEGURIAD GABINETE DE COORDINACION
MINISTERIO DEL INTERIOR ______________________ SECRETARIA DE ESTADO DE SEGURIDAD
2
Contenidos Mnimos Plan de Proteccin Especfico (PPE) ndice 1.- Introduccin. 1.1 Base legal. 1.2 Objetivo de este documento. 1.3 Finalidad y contenido del PPE. 1.4 Mtodo de revisin y actualizacin. 1.5 Proteccin y gestin de la informacin y documentacin. 2.- Aspectos organizativos. 2.1 Delegados de seguridad de las infraestructuras crticas. 2.2 Mecanismos de coordinacin. 2.3 Mecanismos y responsables de aprobacin.
3.- Descripcin de la infraestructura crtica. 3.1 Datos generales de la infraestructura crtica. 3.2 Activos / elementos de la IC. 3.3 Interdependencias. 4.- Resultados del anlisis de riesgos. 4.1 Amenazas consideradas. 4.2 Medidas existentes. 4.2.1 Organizativas o de gestin. 4.2.2 Operacionales o procedimentales. 4.2.3 De proteccin o tcnicas. 4.3 Valoracin de riesgos. 5.- Plan de accin propuesto (por activo). 6.- Documentacin complementaria.
MINISTERIO DEL INTERIOR SECRETARA DE ESTADO DE SEGURIDAD GABINETE DE COORDINACIN
MINISTERIO DEL INTERIOR ______________________ SECRETARIA DE ESTADO DE SEGURIDAD
3 1. Introduccin 1.1 Base legal Segn establece la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la proteccin de las infraestructuras crticas, el operador designado como crtico se integrar como agente del sistema de proteccin de infraestructuras crticas, debiendo cumplir con una serie de responsabilidades recogidas en su artculo 13. De acuerdo con el punto 1, letra d, del citado artculo, el Operador deber elaborar un Plan de Proteccin Especfico (en adelante PPE) por cada una de las infraestructuras crticas de las que sea propietario o gestor. El Real Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento de proteccin de las infraestructuras crticas, a travs del cual se da desarrollo reglamentario a la Ley 8/2011, establece, en su captulo IV del Ttulo III sobre los Instrumentos de Planificacin, aquellos aspectos relativos a la elaboracin, finalidad y contenido de dichos planes, formas de revisin y actualizacin, autoridades encargadas de su aplicacin y seguimiento y compatibilidad con otros planes ya existentes. En este sentido, y conforme al artculo 25.5 de dicho Real Decreto, se asigna a la Secretara de Estado de Seguridad, a travs del CNPIC, la responsabilidad de establecer los contenidos mnimos de los PPE, as como el modelo en el que fundamentar su estructura y complecin, sobre la base de las directrices y criterios marcados por el Plan de Seguridad del Operador (PSO). En el PPE, el Operador Crtico pblico o privado recoger de forma prctica los siguientes aspectos y criterios incluidos en su Plan de Seguridad del Operador, que afecten de manera especfica a esa instalacin: Aspectos relativos a su poltica general de seguridad. Desarrollo de la metodologa de anlisis de riesgos que garantice la continuidad de los servicios proporcionados por dicho operador a travs de esa infraestructura crtica (IC). Desarrollo de los criterios de aplicacin de las diferentes medidas de seguridad que se implanten para hacer frente a las amenazas, tanto fsicas como lgicas, identificadas en relacin con cada una de las tipologas de los activos existentes en esa infraestructura.
MINISTERIO DEL INTERIOR ______________________ SECRETARIA DE ESTADO DE SEGURIDAD
4 1.2 Objetivo de este Documento Con el presente documento se pretende dar cumplimiento a las instrucciones emanadas del Real Decreto 704/2011, estableciendo los contenidos mnimos sobre los que se debe de apoyar el operador a la hora de elaborar su respectivo PPE en las instalaciones catalogadas como crticas. A su vez, se establecen algunos puntos explicativos sobre aspectos recogidos en la Ley 8/2011 y el Real Decreto 704/2011. 1.3 Finalidad y Contenido del PPE Los PPE son los documentos operativos donde se definen las medidas concretas a poner en marcha por los operadores crticos para garantizar la seguridad integral (fsica y lgica) de sus infraestructuras crticas. Adems de un ndice referenciado a los contenidos del Plan, los PPE debern contener, al menos, la siguiente informacin especfica sobre la infraestructura a proteger Organizacin de la seguridad. Descripcin de la infraestructura. Resultado del anlisis de riesgos: Medi das de seguri dad (tanto l as existentes como l as que sea necesari o implementar) permanentes, temporales y graduales para las diferentes tipologas de activos a proteger y segn los distintos niveles de amenaza declarados a nivel nacional. Plan de Accin propuesto (por activo) Los PPE debern estar alineados con las pautas establecidas en la Poltica General de Seguridad del Operador reflejada en el PSO. Asimismo, los anlisis de riesgos, vulnerabilidades y amenazas que se lleven a cabo, estarn sujetos a las pautas metodolgicas descritas en el PSO. 1.4 Mtodo de Revisin y Actualizacin Conforme al artculo 27 del Real Decreto por el que se aprueba el Reglamento de proteccin de las infraestructuras crticas, entre las obligaciones del operador, adems de la elaboracin y presentacin del PPE al Centro Nacional de Proteccin de Infraestructuras Crticas (en adelante CNPIC), se incluye su revisin y actualizacin peridica: Revisin: Bienal.
MINISTERIO DEL INTERIOR ______________________ SECRETARIA DE ESTADO DE SEGURIDAD
5 Actualizacin: cuando se produzca una modificacin en los datos incluidos dentro del PPE. En este caso, el PPE quedar actualizado cuando dichas modificaciones hayan sido validadas por el CNPIC, o en las condiciones establecidas en su normativa sectorial especfica. 1.5 Proteccin y Gestin de la Informacin y Documentacin La informacin asociada con los PPE y aquella relativa a los anlisis de riesgos y las medidas de seguridad implantadas sobre las infraestructuras crticas a las que hacen referencia es de carcter sensible, por lo que, en este sentido, el operador deber definir sus procedimientos de tratamiento de dicha informacin, as como los estndares de seguridad precisos para prestar una adecuada y eficaz proteccin de la informacin utilizados, independientemente del formato en el que sta se encuentre. Adems, los operadores designados como crticos, debern tratar los documentos que se deriven de la aplicacin de la Ley 8/2011 y su desarrollo normativo a travs del Real Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento de proteccin de las infraestructuras, segn el grado de clasificacin que se derive de las citadas normas. En virtud de la disposicin adicional segunda de la ley 08/2011, la clasificacin del PPE constar de forma expresa en el instrumento de su aprobacin. A tal fin, el tratamiento de los PPE deber estar regido conforme a las orientaciones publicadas por la Autoridad Nacional para la Proteccin de la Informacin Clasificada del Centro Nacional de Inteligencia en lo que se refiere al manejo y custodia de informacin clasificada con grado de Difusin Limitada. Las orientaciones de referencia se encuentran recogidas en los siguientes documentos:
SEGURIDAD DOCUMENTAL OR-ASIP-04-01.03 Orientaciones para el Manejo de Informacin Clasificada con Grado de Difusin Limitada. SEGURIDAD EN EL PERSONAL OR-ASIP-02-02.02 Instruccin de Seguridad del Personal para acceso a Informacin Clasificada.
MINISTERIO DEL INTERIOR ______________________ SECRETARIA DE ESTADO DE SEGURIDAD
6 SEGURIDAD FSICA OR-ASIP-01-01.02 Orientaciones para el Plan de Proteccin de una Zona de Acceso Restringido. OR-ASIP-01-02.02 Orientaciones para la Constitucin de Zonas de Acceso Restringido. 2. Aspectos Organizativos 2.1 Delegados de Seguridad de las Infraestructuras Conforme al artculo 17 de la Ley 8/2011, el Operador Crtico con infraestructuras designadas como crticas o criticas europeas comunicar a las Delegaciones del Gobierno o, en su caso al rgano competente de la Comunidad Autnoma con competencias estatutariamente reconocidas para la proteccin de personas y bienes y para el mantenimiento del orden pblico donde aquellas se ubiquen, la persona designada como Delegado de Seguridad y su sustituto para cada una de dichas infraestructuras. El Operador Crtico deber hacer constar en este apartado el nombre y datos de contacto (direccin, telfonos y email) de la persona que fue designado como Delegado de Seguridad as como de su sustituto, cumpliendo los plazos establecidos desde su designacin, as como su participacin a las Autoridades correspondientes, segn lo establecido en el artculo 35.1 del Real Decreto 704/2011. Sus funciones en relacin con el artculo 35.2 del Real Decreto 704/2011, son las siguientes: Ser el enlace operativo y el canal de informacin con las autoridades competentes en materia relativa a la seguridad de sus infraestructuras. Canalizar las necesidades operativas e informativas que surjan. Coordinarse adecuadamente con el Responsable de Seguridad y Enlace y, en su caso, con los otros Delegados de Seguridad del Operador Crtico. El Operador Crtico deber reflejar en este apartado los cursos o formacin que el Delegado de Seguridad haya recibido, relacionados con las habilidades necesarias para el desempeo del puesto, de acuerdo con el Plan de Formacin previsto en el PSO.
MINISTERIO DEL INTERIOR ______________________ SECRETARIA DE ESTADO DE SEGURIDAD
7 2.2 Mecanismos de Coordinacin El Operador Crtico deber reflejar dentro de su PPE los mecanismos existentes de coordinacin: Entre el Delegado de Seguridad de la Infraestructura Crtica (IC) con otros Delegados de otras ICs y con el Responsable de Seguridad y Enlace del propio Operador. Con Autoridades y terceros (Fuerzas y Cuerpos de Seguridad del Estado/ Cuerpos Policiales autonmicos y locales / CNPIC /otros). Con otros planes existentes del Operador (planes de continuidad de negocio, planes de evacuacin, etc.). 2.3 Mecanismos y Responsables de Aprobacin El Operador deber incluir dentro del PPE los siguientes aspectos relativos a su aprobacin interna: Responsables de su aprobacin. Procedimiento que se sigue para su aprobacin. Fecha en la que se produjo su ltima aprobacin. 3. Descripcin de la Infraestructura 3.1 Datos Generales de la Infraestructura El Operador Crtico deber incluir los siguientes datos e informacin sobre la infraestructura a proteger: Generales, relativos a la denominacin y tipo de instalacin, propiedad y gestin de la misma. Sobre localizacin fsica y estructura (localizacin, planos generales, fotografas, componentes, etc.) Sobre los sistemas TIC que gestionan la IC y su arquitectura (mapa de red, mapa de comunicaciones, mapa de sistemas, etc.).
MINISTERIO DEL INTERIOR ______________________ SECRETARIA DE ESTADO DE SEGURIDAD
8 Datos estratgicos: o Descripcin del servicio esencial que proporciona y el mbito geogrfico o poblacional del mismo. o Relacin con otras posibles infraestructuras necesarias para la prestacin de ese servicio esencial. o Descripcin de sus funciones y de su relacin con los servicios esenciales soportados. 3.2 Activos/Elementos de la IC Se incluirn en este apartado los activos que soportan la infraestructura crtica, diferenciando aquellos que son vitales de los que no lo son. En concreto se detallarn: Las instalaciones o componentes de la IC que son necesarios y por lo tanto vitales para la prestacin del servicio esencial. Los sistemas informticos (hardware y software) utilizado. Las redes de comunicaciones que permiten intercambiar datos y que se utilicen para dicha IC. Las personas o grupos de personas que explotan u operan todos los elementos anteriormente citados. Los proveedores crticos que son necesarios para el funcionamiento de dicha IC. Del mismo modo, se especificarn las dependencias existentes entre los diferentes activos que soportan o componen la IC. La informacin anterior deber ser la suficiente para recoger de manera explcita el alcance de la infraestructura a proteger y con el mismo nivel de granularidad que se haya establecido dentro del PSO. 3.3 Interdependencias En relacin con el concepto de interdependencias recogido en el artculo 2. j) de la Ley, pueden existir efectos y repercusiones que afecten los servicios esenciales y las infraestructuras crticas propias y/o de otros operadores, tanto dentro del mismo sector como en mbitos diferentes. Estas interdependencias debern ser en todo caso consideradas en el anlisis de riesgos que realicen los operadores para la IC de que se trate, en el marco del PPE.
MINISTERIO DEL INTERIOR ______________________ SECRETARIA DE ESTADO DE SEGURIDAD
9 El Operador Crtico deber hacer referencia dentro de sus diferentes PPE a las interdependencias que, en su caso, identifique, explicando brevemente el motivo que las origina: Con otras infraestructuras crticas del propio Operador. Con otras infraestructuras crticas de otros Operadores. Con otras infraestructuras estratgicas que soportan el servicio esencial. 4. Resultados del anlisis de riesgos El Operador Crtico deber reflejar en su PPE los resultados del anlisis de riesgos realizado sobre la infraestructura crtica. Dicho anlisis de riesgos deber seguir las pautas metodolgicas recogidas en su PSO. A continuacin se reflejan los contenidos mnimos relativos al anlisis de riesgos realizado que el operador deber incluir dentro del PPE. 4.1 Amenazas Consideradas En el marco de la normativa de proteccin de infraestructuras crticas, y de cara a garantizar la adecuada proteccin de las infraestructuras crticas, el Operador Crtico deber considerar de forma especial aquellas amenazas de origen terrorista o intencionado. El Operador deber indicar expresamente las amenazas que ha considerado para la realizacin de los anlisis de riesgos, plasmando al menos: Las amenazas intencionadas, tanto de tipo fsico como lgico, que afecten de forma especfica a alguno de los activos que soportan infraestructura crtica. Las amenazas que puedan afectar directamente a la infraestructura procedente de las interdependencias identificadas, sean stas deliberadas o no. Las dirigidas al entorno cercano o elementos interdependientes tanto del ante-permetro fsico como lgico que puedan afectar a la infraestructura. Las amenazas que afecten a los sistemas de informacin que den soporte a la operacin de la infraestructura crtica y todos los que estn conectados a dichos sistemas sin contar con las adecuadas medidas de segmentacin.
MINISTERIO DEL INTERIOR ______________________ SECRETARIA DE ESTADO DE SEGURIDAD
10 4.2 Medidas de Seguridad El Operador deber describir las medidas de seguridad (medidas de proteccin de las instalaciones, equipos, datos, software de base y aplicativos, personal y documentacin) implantadas en la actualidad, con las que se ha contado para la realizacin del anlisis de riesgos. Deber distinguir entre las medidas de carcter permanente, y aquellas temporales y graduales. Por medidas permanentes se entienden aquellas medidas concretas ya adoptadas por el Operador Crtico, as como aquellas que considere necesarias instalar en funcin del resultado del anlisis de riesgo realizado respecto de los riesgos, amenazas y consecuencias/impacto sobre sus activos, dirigidas todas ellas a garantizar la seguridad integral de su instalacin catalogada como crtica de manera continua. Por medidas temporales y graduales se entienden aquellas medidas de seguridad de carcter extraordinario que reforzarn a las permanentes y que se debern implementar a raz de la activacin de alguno de los niveles de seguridad establecidos respectivamente en el Plan Nacional de Proteccin de las Infraestructuras Crticas (artculo 16.3 del RD 704/2011), o bien como consecuencia de las comunicaciones que las autoridades competentes puedan efectuar al Operador Crtico en relacin con una amenaza concreta y temporal sobre la instalacin por l gestionada. Dichas medidas debern permanecer activas durante el tiempo que est establecido el nivel de alarma, modificndose gradualmente en funcin de dicho nivel. Para su mejor comprensin, se recomienda una aproximacin por capas, especificando para cada nivel las medidas de prevencin y proteccin, el tiempo de respuesta y el tiempo de recuperacin. En concreto, el Operador deber describir las medidas de que dispone relativas a: 4.2.1 Medidas Organizativas o de Gestin El Operador deber indicar si dispone de al menos de las siguientes medidas organizativas o de gestin, y el alcance de cada una de ellas: Anlisis de Riesgos: Evaluacin y valoracin de las amenazas, impactos y probabilidades para obtener un nivel de riesgo. Definicin de roles y responsabilidades: Asignacin de responsabilidades en materia de seguridad. Cuerpo normativo definido: Polticas, procedimientos y estndares de seguridad.
MINISTERIO DEL INTERIOR ______________________ SECRETARIA DE ESTADO DE SEGURIDAD
11 Normas y/o regulaciones de aplicacin a la infraestructura crtica, as como identificacin de su nivel de cumplimiento. Certificacin, acreditacin y evaluacin de seguridad obtenidas para la infraestructura crtica. 4.2.2 Medidas Operacionales o Procedimentales El operador deber indicar si dispone de al menos las siguientes medidas operacionales o procedimentales, y el alcance de cada una de ellas. Procedimientos para la realizacin, gestin y mantenimiento de activos: o Procedimiento de inventariado (Identificacin/Catalogacin/etc.): -Activos fsicos. -Activos lgicos. o Procedimiento de gestin contina de activos fsicos y lgicos (Alta/Baja/Modificacin). o Etc. Procedimientos de formacin, concienciacin y capacitacin (tanto general como especfica) para o Empleados/Operarios. o Personal de seguridad. o Etc. Procedimientos de Contingencia / Recuperacin, en funcin de los escenarios de contingencia que hayan sido definidos. Procedimientos operativos para la monitorizacin, supervisin y evaluacin/auditora de: o Activos Fsicos de la infraestructura (Alcance / Operacin / Seguimiento). o Activos Lgicos o de sistemas de operacin (Alcance / Operacin / Seguimiento).
MINISTERIO DEL INTERIOR ______________________ SECRETARIA DE ESTADO DE SEGURIDAD
12 Procedimientos para la gestin de acceso: o Gestin de usuarios: Altas, bajas y modificaciones, procesos de seleccin, rgimen interno, procedimientos de cese. o Control de accesos temporales: -De personas, vehculos, etc. al recinto general o a recintos restringidos. -Identificadores de usuario temporal de los sistemas (mantenimiento). o Control de entradas y salidas: -Paquetera, correspondencia, etc. -Soportes, equipos e informacin (medidas y tecnologas de prevencin de fuga de informacin). Procedimientos operacionales del personal de seguridad (funciones, horarios, dotaciones, etc.). Procedimientos de gestin y respuesta de incidentes. 4.2.3 Medidas De proteccin o Tcnicas Medidas de Prevencin y Deteccin: o Medidas y elementos de seguridad fsica y electrnica para la proteccin del permetro y control de accesos: -Vallas, zonas de seguridad, detectores de intrusos, cmaras de video vigilancia / CCTV, puertas y esclusas, cerraduras, lectores de matrculas, arcos de seguridad, tornos, scanners, tarjetas activas, lectores de tarjetas, etc. o Medidas y elementos de seguridad lgica: -Firewalls, DMZ, IPSs, segmentacin y aislamiento de redes, cifrado, VPNs, elementos y medidas de control de acceso de usuarios (tokens, controles biomtricos, etc.), medidas de instalacin y configuracin segura de elementos tcnicos, correladores de eventos y logs, proteccin frente Malware, etc. o Otros.
MINISTERIO DEL INTERIOR ______________________ SECRETARIA DE ESTADO DE SEGURIDAD
13 Coordinacin y Monitorizacin: o Centro de Control de Seguridad (control de alarmas, recepcin y visionado de imgenes, etc.). o Equipos de vigilancia (turnos, rondas, volumen, etc.). o Sistemas de comunicacin. o Otros. 4.3 Valores de Riesgo En este apartado se describirn las principales conclusiones obtenidas en el anlisis de riesgos. Para cada par activo / amenaza se deber especificar la valoracin efectuada, sobre la base de los criterios especificados en la metodologa de anlisis de riesgos detallada en el PSO. Dentro de este apartado deber incluirse, para cada par activo / amenaza, la siguiente informacin: Quin ha evaluado / aprobado el riesgo y la estrategia de tratamiento asociada. Criterios de valoracin de riesgos adoptados. Fecha del ltimo anlisis llevado a cabo. Resultado / conclusin sobre el nivel de riesgo soportado. En particular, debern detallarse los riesgos asumidos con niveles de impacto elevado y baja probabilidad, que debern ser validados por el CNPIC. 5. Plan de accin propuesto (por activo) En caso de ser pertinente y preverse la disposicin de medidas complementarias a las existentes a implementar en los prximos tres aos, se deber describir, como parte integrante del PPE: La enumeracin de las medidas complementarias a disponer (fsicas o lgicas) Una explicacin de la operativa resultante para cada tipo de proteccin (fsico y lgico) y para cada uno de los horarios significativos, segn el orden del apartado 4.2.
MINISTERIO DEL INTERIOR ______________________ SECRETARIA DE ESTADO DE SEGURIDAD
14 El Operador deber especificar el conjunto detallado de medidas a aplicar para proteger el activo como consecuencia de los resultados obtenidos en el anlisis de riesgos. En concreto, deber incluir la siguiente informacin: Accin propuesta, con detalle de su mbito (alcance) de aplicacin. Activo de aplicacin. Responsables de su implantacin, plazos, mecanismos de coordinacin y seguimiento, etc. Carcter permanente, temporal o gradual de la medida. 6. Documentacin complementaria El Operador Crtico incorporar como anexo la planimetra general de la instalacin o sistema y de sus sistemas de informacin, as como aquellos otros planos que incorporen la ubicacin de las medidas de seguridad implementadas. A su vez, se podr adjuntar aquella otra informacin que se pueda generar de los diferentes apartados de este documento. Se har una breve referencia a todos aquellos planes de diferente tipo (emergencia, autoproteccin, etc.), que afecten a la instalacin o sistema con el fin de establecer una adecuada coordinacin entre ellos, as como toda aquella normativa y buenas prcticas que regulen el buen funcionamiento del servicio esencial prestado por esa infraestructura y los motivos por los cuales le son de aplicacin. La normativa a incluir comprender tanto las de rango nacional, autonmico, europeo e internacional, como las sectoriales, relativas a : Seguridad Fsica. Seguridad Lgica. Seguridad de la Informacin en cualquiera de sus mbitos. Seguridad Personal. Seguridad Ambiental. Autoproteccin y Prevencin de Riesgos Laborales. Madrid, 29 de noviembre de 2011