Esquema Nacional de Seguridad

ADR Infor SL
 ndice
Esquema Nacional de Seguridad 4
Introduccin 5
Disposiciones generales 6
Objeto 6
Definiciones 7
mbito de aplicacin. 9
Principios bsicos 9
Principios 10
La seguridad como un proceso integral 10
Gestin de la seguridad basada en los riesgos 10
Prevencin, reaccin y recuperacin 11
Lneas de defensa 11
Reevaluacin peridica 12
La seguridad como funcin diferenciada 12
Requisitos mnimos 12
Requisitos mnimos de seguridad 12
Organizacin e implantacin del proceso de seguridad 13
Anlisis y gestin de los riesgos 14
Gestin de personal 14
Profesionalidad 14
Autorizacin y control de los accesos 15
Proteccin de las instalaciones 15
Adquisicin de productos de seguridad y contratacin de servicios de seguridad 15
Seguridad por defecto 16
Integridad y actualizacin del sistema 16
Proteccin de informacin almacenada y en trnsito 17
Prevencin ante otros sistemas de informacin interconectados 17
Registro de actividad 18
Incidentes de seguridad 18
Continuidad de la actividad 18
Mejora continua del proceso de seguridad 19
Cumplimiento de requisitos mnimos 19
Infraestructuras y servicios comunes 20
Instrucciones tcnicas de seguridad y guas de seguridad 20
Sistemas de informacin no afectados 20
Comunicaciones electrnicas 21
Condiciones tcnicas de seguridad de las comunicaciones electrnicas 21
Requerimientos tcnicos de notificaciones y publicaciones electrnicas 21
Firma electrnica 21
Auditora de la Seguridad 22
Informe del estado de la seguridad 23
Respuesta a incidentes de seguridad 23
Capacidad de respuesta a incidentes de seguridad de la informacin 24
Prestacin de servicios de respuesta a incidentes de seguridad a las Administraciones pblicas 24
Normas de conformidad 25
Sedes y registros electrnicos 25
Ciclo de vida de servicios y sistemas 25
Mecanismos de control 25

2/35
 Publicacin de conformidad 25
Actualizacin permanente 25
Categorizacin de los sistemas de informacin 25
Categoras 25
Facultades 26
Categoras de los sistemas 26
Fundamentos para la determinacin de la categora de un sistema 26
Dimensiones de la seguridad 27
Determinacin del nivel requerido en una dimensin de seguridad 27
Determinacin de la categora de un sistema de informacin 29
Secuencia de actuaciones para determinar la categora de un sistema 29
Medidas de seguridad 30
Auditora de la seguridad 30
Objeto de la auditora 30
Niveles de auditora 31
Interpretacin 31
Resumen 31
Ejercicios 32
Ejercicio 1: Sedes electrnicas locales. 32
Ejercicio 2: Iniciacin de procedimientos 32
Pasos a seguir 32
Recursos 33
Enlaces de Inters 33
Glosario. 33

3/35
 Esquema Nacional de Seguridad

Esquema Nacional de Seguridad

Ofrecer una visin clara y concisa del Esquema Nacional de Seguridad que establece los
principios y requisitos de una poltica de seguridad en la utilizacin de medios
electrnicos que permita la adecuada proteccin de la informacin, en las
comunicaciones que se realizan con la Administracin Pblica. En concreto en la
presente unidad se hablar de:

Disposiciones generales.
Principios bsicos.
Requisitos mnimos.
Comunicaciones electrnicas.
Auditoria de la Seguridad.
Informe del estado de la seguridad.
Respuesta a incidentes de seguridad.
Normas de conformidad.
Actualizacin permanente.
Categorizacin de los sistemas de informacin.
Categoras de los sistemas.
Medidas de seguridad .
Auditora de la seguridad .

Disposiciones Estudiadas

A lo largo de la presente unidad se desglosan conceptos relacionados con la siguiente

normativa:

Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional

de Seguridad en el mbito de la Administracin Electrnica.

En el siguiente enlace puedes acceder al Real Decreto 3/2010, de 8 de enero, por el que
se regula el Esquema Nacional de Seguridad en el mbito de la Administracin
Electrnica.

4/35
 Esquema Nacional de Seguridad

Introduccin
En el mbito de las Administraciones pblicas, la consagracin del derecho a comunicarse con ellas a
travs de medios electrnicos comporta una obligacin correlativa de las mismas, que tiene, como
premisas, la promocin de las condiciones para que la libertad y la igualdad sean reales y efectivas, y la
remocin de los obstculos que impidan o dificulten su plenitud, lo que demanda incorporar las
peculiaridades que exigen una aplicacin segura de estas tecnologas.

La creacin del Esquema Nacional de Seguridad tiene como principal objeto el establecimiento de los
principios y requisitos de una poltica de seguridad en la utilizacin de medios electrnicos que permita
la adecuada proteccin de la informacin.

Adems, la finalidad del Esquema Nacional de Seguridad es la creacin de las condiciones necesarias de
confianza en el uso de los medios electrnicos, a travs de medidas para garantizar la seguridad de los
sistemas, los datos, las comunicaciones, y los servicios electrnicos, que permita a los ciudadanos y a las
Administraciones pblicas, el ejercicio de derechos y el cumplimiento de deberes a travs de estos
medios.

El Esquema Nacional de Seguridad persigue fundamentar la confianza en que los

sistemas de informacin prestarn sus servicios y custodiarn la informacin de acuerdo
con sus especificaciones funcionales, sin interrupciones o modificaciones fuera de
control, y sin que la informacin pueda llegar al conocimiento de personas no
autorizadas.

Actualmente los sistemas de informacin de las administraciones pblicas estn fuertemente imbricados
entre s y con sistemas de informacin del sector privado: empresas y administrados.

Por esta razn, la seguridad tiene un nuevo reto que va ms all del aseguramiento individual de cada
sistema.

Se entiende por seguridad de las redes y de la informacin , la capacidad de las redes o

de los sistemas de informacin de resistir, con un determinado nivel de confianza, los
accidentes o acciones ilcitas o malintencionadas que comprometan la disponibilidad ,
autenticidad , integridad y confidencialidad de los datos almacenados o transmitidos y
de los servicios que dichas redes y sistemas ofrecen o hacen accesibles.

5/35
 Esquema Nacional de Seguridad

El Esquema Nacional de Seguridad tiene presentes las recomendaciones de la Unin

Europea (Decisin 2001/844/CE CECA, Euratom de la Comisin, de 29 de noviembre
de 2001, por la que se modifica su Reglamento interno y Decisin 2001/264/CE del
Consejo, de 19 de marzo de 2001, por la que se adoptan las normas de seguridad del
Consejo), la situacin tecnolgica de las diferentes Administraciones pblicas, as como
los servicios electrnicos existentes en las mismas, la utilizacin de estndares abiertos
y, de forma complementaria, estndares de uso generalizado por los ciudadanos.

El Esquema Nacional de Seguridad establece los principios bsicos y requisitos mnimos que, de
acuerdo con el inters general, naturaleza y complejidad de la materia regulada, permiten una proteccin
adecuada de la informacin y los servicios, lo que exige incluir el alcance y procedimiento para gestionar
la seguridad electrnica de los sistemas que tratan informacin de las Administraciones pblicas.

Gracias a ello, se logra un comn denominador normativo, cuya regulacin no agota todas las
posibilidades de normacin, y permite ser completada, mediante la regulacin de los objetivos,
materialmente no bsicos, que podrn ser decididos por polticas legislativas territoriales.

En este contexto, se determinan:

Las dimensiones de seguridad y sus niveles.

La categora de los sistemas.
Las medidas de seguridad adecuadas y la auditora peridica de la seguridad.
Se implanta la elaboracin de un informe para conocer regularmente el estado de seguridad de
los sistemas de informacin.
Se establece el papel de la capacidad de respuesta ante incidentes de seguridad de la informacin
del Centro Criptolgico Nacional.
Se incluye un glosario de trminos y se hace una referencia expresa a la formacin.

El Esquema Nacional de Seguridad concibe la seguridad como una actividad integral, en

la que no caben actuaciones puntuales o tratamientos coyunturales, debido a que la
debilidad de un sistema la determina su punto ms frgil y, a menudo, este punto es la
coordinacin entre medidas individualmente adecuadas pero deficientemente
ensambladas.

Disposiciones generales

Objeto

6/35
 Esquema Nacional de Seguridad

El Esquema Nacional de Seguridad est constituido por los principios bsicos y requisitos mnimos
requeridos para una proteccin adecuada de la informacin.

Ser aplicado por las Administraciones pblicas para asegurar:

El acceso.
La integridad.
La disponibilidad.
La autenticidad.
La confidencialidad.
La trazabilidad .
La conservacin de los datos, informaciones y servicios utilizados en medios electrnicos que
gestionen en el ejercicio de sus competencias.

Definiciones
A los efectos previstos en el Esquema Nacional de Seguridad, las definiciones, palabras, expresiones y
trminos han de ser entendidos en el sentido indicado en el presente vocabulario.

Activo : Componente o funcionalidad de un sistema de informacin susceptible de ser

atacado deliberada o accidentalmente con consecuencias para la organizacin. Incluye:
informacin, datos, servicios, aplicaciones (software), equipos (hardware),
comunicaciones, recursos administrativos, recursos fsicos y recursos humanos.

Anlisis de riesgos : Utilizacin sistemtica de la informacin disponible para

identificar peligros y estimar los riesgos.

Auditora de la seguridad: Revisin y examen independientes de los registros y

actividades del sistema para verificar la idoneidad de los controles del sistema, asegurar
que se cumplen la poltica de seguridad y los procedimientos operativos establecidos,
detectar las infracciones de la seguridad y recomendar modificaciones apropiadas de los
controles, de la poltica y de los procedimientos.

Autenticidad: Propiedad o caracterstica consistente en que una entidad es quien dice

ser o bien que garantiza la fuente de la que proceden los datos.

Categora de un sistema : Es un nivel, dentro de la escala Bsica-Media-Alta, con el

que se adjetiva un sistema a fin de seleccionar las medidas de seguridad necesarias para
el mismo. La categora del sistema recoge la visin holstica del conjunto de activos
como un todo armnico, orientado a la prestacin de unos servicios.

Confidencialidad: Propiedad o caracterstica consistente en que la informacin ni se

pone a disposicin, ni se revela a individuos, entidades o procesos no autorizados.

Disponibilidad: Propiedad o caracterstica de los activos consistentes en que las

entidades o procesos autorizados tienen acceso a los mismos cuando lo requieren.

7/35
 Esquema Nacional de Seguridad

Firma electrnica: Conjunto de datos en forma electrnica, consignados junto a otros o

asociados con ellos, que pueden ser utilizados como medio de identificacin del
firmante.

Gestin de incidentes : Plan de accin para atender a los incidentes que se den.
Adems de resolverlos debe incorporar medidas de desempeo que permitan conocer la
calidad del sistema de proteccin y detectar tendencias antes de que se conviertan en
grandes problemas.

Gestin de riesgos : Actividades coordinadas para dirigir y controlar una organizacin

con respecto a los riesgos.

Incidente de seguridad : Suceso inesperado o no deseado con consecuencias en

detrimento de la seguridad del sistema de informacin.

Integridad: Propiedad o caracterstica consistente en que el activo de informacin no

ha sido alterado de manera no autorizada.

Medidas de seguridad: Conjunto de disposiciones encaminadas a protegerse de los

riesgos posibles sobre el sistema de informacin, con el fin de asegurar sus objetivos de
seguridad. Puede tratarse de medidas de prevencin, de disuasin, de proteccin, de
deteccin y reaccin, o de recuperacin.

Poltica de firma electrnica : Conjunto de normas de seguridad, de organizacin,

tcnicas y legales para determinar cmo se generan, verifican y gestionan firmas
electrnicas, incluyendo las caractersticas exigibles a los certificados de firma.

Poltica de seguridad: Conjunto de directrices plasmadas en documento escrito, que

rigen la forma en que una organizacin gestiona y protege la informacin y los servicios
que considera crticos.

Principios bsicos de seguridad : Fundamentos que deben regir toda accin orientada a
asegurar la informacin y los servicios.

Proceso : Conjunto organizado de actividades que se llevan a cabo para producir a un

producto o servicio; tiene un principio y fin delimitado, implica recursos y da lugar a un
resultado.

Proceso de seguridad : Mtodo que se sigue para alcanzar los objetivos de seguridad
de la organizacin. El proceso se disea para identificar, medir, gestionar y mantener
bajo control los riesgos a que se enfrenta el sistema en materia de seguridad.

Requisitos mnimos de seguridad : Exigencias necesarias para asegurar la informacin

y los servicios.

Riesgo : Estimacin del grado de exposicin a que una amenaza se materialice sobre
uno o ms activos causando daos o perjuicios a la organizacin.

8/35
 Esquema Nacional de Seguridad

Seguridad de las redes y de la informacin: Es la capacidad de las redes o de los

sistemas de informacin de resistir, con un determinado nivel de confianza, los
accidentes o acciones ilcitas o malintencionadas que comprometan la disponibilidad,
autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos y de
los servicios que dichas redes y sistemas ofrecen o hacen accesibles.

Servicios acreditados : Servicios prestados por un sistema con autorizacin concedida

por la autoridad responsable, para tratar un tipo de informacin determinada, en unas
condiciones precisas de las dimensiones de seguridad, con arreglo a su concepto de
operacin.

Sistema de gestin de la seguridad de la informacin ( SGSI ): Sistema de gestin

que, basado en el estudio de los riesgos, se establece para crear, implementar, hacer
funcionar, supervisar, revisar, mantener y mejorar la seguridad de la informacin. El
sistema de gestin incluye la estructura organizativa, las polticas, las actividades de
planificacin, las responsabilidades, las prcticas, los procedimientos, los procesos y los
recursos.

Sistema de informacin: Conjunto organizado de recursos para que la informacin se

pueda recoger, almacenar, procesar o tratar, mantener, usar, compartir, distribuir, poner
a disposicin, presentar o transmitir.

Trazabilidad: Propiedad o caracterstica consistente en que las actuaciones de una

entidad pueden ser imputadas exclusivamente a dicha entidad.

Vulnerabilidad : Una debilidad que puede ser aprovechada por una amenaza.

mbito de aplicacin.
El mbito de aplicacin del Esquema Nacional de Seguridad es:

A las Administraciones Pblicas, entendiendo por tales la Administracin General del Estado,
las Administraciones de las Comunidades Autnomas y las Entidades que integran la
Administracin Local, as como las entidades de derecho pblico vinculadas o dependientes de
las mismas.
A los ciudadanos en sus relaciones con las Administraciones Pblicas.
A las relaciones entre las distintas Administraciones Pblicas.

Estn excluidos del mbito de aplicacin los sistemas que tratan informacin clasificada
regulada por Ley 9/1968, de 5 de abril, de Secretos Oficiales y normas de desarrollo.

Principios bsicos

9/35
 Esquema Nacional de Seguridad

Principios
El objeto ltimo de la seguridad de la informacin es asegurar que una organizacin administrativa podr
cumplir sus objetivos utilizando sistemas de informacin.

En las decisiones en materia de seguridad debern tenerse en cuenta los siguientes principios:

Seguridad integral.
Gestin de riesgos.
Prevencin, reaccin y recuperacin.
Lneas de defensa.
Reevaluacin peridica.
Funcin diferenciada.

La seguridad como un proceso integral

La seguridad se entender como un proceso integral constituido por todos los elementos tcnicos,
humanos, materiales y organizativos, relacionados con el sistema.

La aplicacin del Esquema Nacional de Seguridad estar presidida por este principio,
que excluye cualquier actuacin puntual o tratamiento coyuntural.

Se prestar la mxima atencin a la concienciacin de las personas que intervienen en el proceso y a sus
responsables jerrquicos, para que, ni la ignorancia, ni la falta de organizacin y coordinacin, ni
instrucciones inadecuadas, sean fuentes de riesgo para la seguridad.

Gestin de la seguridad basada en los riesgos

El anlisis y gestin de riesgos ser parte esencial del proceso de seguridad y deber
mantenerse permanentemente actualizado.

La gestin de riesgos permitir el mantenimiento de un entorno controlado, minimizando los riesgos

hasta niveles aceptables.

En este sentido, la reduccin de estos niveles se realizar mediante el despliegue de medidas de

seguridad, que establecer un equilibrio entre la naturaleza de los datos y los tratamientos, los riesgos a
los que estn expuestos y las medidas de seguridad.

10/35
 Esquema Nacional de Seguridad

Prevencin, reaccin y recuperacin

La seguridad del sistema debe contemplar los aspectos de prevencin, deteccin y correccin, para
conseguir que las amenazas sobre el mismo no se materialicen, no afecten gravemente a la informacin
que maneja, o los servicios que se prestan.

En este sentido, las medidas de prevencin deben eliminar o, al menos reducir, la posibilidad de que las
amenazas lleguen a materializarse con perjuicio para el sistema.

Dichas medidas de prevencin contemplarn, entre otras, la disuasin y la reduccin de

la exposicin.

En todo caso, las medidas de deteccin estarn acompaadas de medidas de reaccin, de forma que los
incidentes de seguridad se atajen a tiempo.

Tambin es importante destacar que las medidas de recuperacin permitirn la restauracin de la

informacin y los servicios, de forma que se pueda hacer frente a las situaciones en las que un incidente
de seguridad inhabilite los medios habituales.

Sin merma de los dems principios bsicos y requisitos mnimos establecidos, el

sistema garantizar la conservacin de los datos e informaciones en soporte
electrnico.
De igual modo, el sistema mantendr disponibles los servicios durante todo el
ciclo vital de la informacin digital, a travs de una concepcin y
procedimientos que sean la base para la preservacin del patrimonio digital.

Lneas de defensa
El sistema ha de disponer de una estrategia de proteccin constituida por mltiples capas de seguridad,
dispuesta de forma que, cuando una de las capas falle, permita:

Ganar tiempo para una reaccin adecuada frente a los incidentes que no han podido evitarse.
Reducir la probabilidad de que el sistema sea comprometido en su conjunto.
Minimizar el impacto final sobre el mismo.

Las lneas de defensa han de estar constituidas por medidas de naturaleza organizativa,
fsica y lgica.

11/35
 Esquema Nacional de Seguridad

Reevaluacin peridica

Las medidas de seguridad se reevaluarn y actualizarn peridicamente, para adecuar su

eficacia a la constante evolucin de los riesgos y sistemas de proteccin, llegando
incluso a un replanteamiento de la seguridad, si fuese necesario.

La seguridad como funcin diferenciada

En los sistemas de informacin se diferenciar el responsable de la informacin, el responsable del
servicio y el responsable de la seguridad.

El responsable de la informacin determinar los requisitos de la informacin tratada.

El responsable del servicio determinar los requisitos de los servicios prestados.
El responsable de seguridad determinar las decisiones para satisfacer los requisitos de
seguridad de la informacin y de los servicios.

La responsabilidad de la seguridad de los sistemas de informacin estar

diferenciada de la responsabilidad sobre la prestacin de los servicios.
La poltica de seguridad de la organizacin detallar las atribuciones de cada
responsable y los mecanismos de coordinacin y resolucin de conflictos.

Requisitos mnimos

Requisitos mnimos de seguridad

Todos los rganos superiores de las Administraciones pblicas debern disponer formalmente de su
poltica de seguridad que articule la gestin continuada de la seguridad, que ser aprobada por el titular
del rgano superior correspondiente.

Dicha poltica de seguridad, se establecer de acuerdo con los principios bsicos anteriormente citados y
se desarrollar aplicando los siguientes requisitos mnimos:

Organizacin e implantacin del proceso de seguridad.

Anlisis y gestin de los riesgos.
Gestin de personal.
Profesionalidad.
Autorizacin y control de los accesos.

12/35
 Esquema Nacional de Seguridad

Proteccin de las instalaciones.

Adquisicin de productos.
Seguridad por defecto.
Integridad y actualizacin del sistema.
Proteccin de la informacin almacenada y en trnsito.
Prevencin ante otros sistemas de informacin interconectados.
Registro de actividad.
Incidentes de seguridad.
Continuidad de la actividad.
Mejora continua del proceso de seguridad.

Se considerarn rganos superiores, los responsables directos de la ejecucin de la

accin del gobierno, central, autonmico o local, en un sector de actividad especfico, de
acuerdo con lo establecido en la:

Ley 6/1997, de 14 de abril, de organizacin y funcionamiento de la

Administracin General del Estado
Ley 50/1997, de 27 de noviembre, del Gobierno.
Los estatutos de autonoma correspondientes y normas de desarrollo.
La Ley 7/1985, de 2 de abril, reguladora de las bases del Rgimen Local,
respectivamente.

Asimismo, corresponde decir que los municipios podrn disponer de una poltica de seguridad comn
elaborada por la Diputacin, Cabildo, Consejo Insular u rgano unipersonal correspondiente de aquellas
otras corporaciones de carcter representativo a las que corresponda el gobierno y la administracin
autnoma de la provincia o, en su caso, a la entidad comarcal correspondiente a la que pertenezcan.

Todos los requisitos mnimos se exigirn en proporcin a los riesgos identificados en

cada sistema, pudiendo algunos no requerirse en sistemas sin riesgos significativos, y se
cumplirn de acuerdo con lo establecido en el Esquema Nacional de Seguridad.

Organizacin e implantacin del proceso de seguridad

La seguridad deber comprometer a todos los miembros de la organizacin.

13/35
 Esquema Nacional de Seguridad

En este sentido es importante determinar que la poltica de seguridad deber identificar unos claros
responsables de velar por su cumplimiento y ser conocida por todos los miembros de la organizacin
administrativa.

Anlisis y gestin de los riesgos

Cada organizacin que desarrolle e implante sistemas para el tratamiento de la

informacin y las comunicaciones realizar su propia gestin de riesgos.

La gestin se realizar por medio del anlisis y tratamiento de los riesgos a los que est expuesto el
sistema. Sin perjuicio de lo dispuesto en el Esquema Nacional de Seguridad, se emplear alguna
metodologa reconocida internacionalmente.

Asimismo, es necesario destacar que las medidas adoptadas para mitigar o suprimir los riesgos debern
estar justificadas y, en todo caso, existir una proporcionalidad entre ellas y los riesgos.

Gestin de personal
Todo el personal relacionado con la informacin y los sistemas deber ser formado e informado de sus
deberes y obligaciones en materia de seguridad.

Sus actuaciones deben ser supervisadas para verificar que se siguen los procedimientos establecidos.

Asimismo, el personal relacionado con la informacin y los sistemas, ejercitar y aplicar los principios
de seguridad en el desempeo de su cometido.

Para corregir, o exigir responsabilidades en su caso, cada usuario que acceda a la informacin del
sistema debe estar identificado de forma nica, de modo que se sepa, en todo momento, quin recibe
derechos de acceso, de qu tipo son stos, y quin ha realizado determinada actividad.

El significado y alcance del uso seguro del sistema se concretar y plasmar en unas
normas de seguridad.

Profesionalidad
La seguridad de los sistemas estar atendida, revisada y auditada por personal cualificado, dedicado e
instruido en todas las fases de su ciclo de vida:

Instalacin.
Mantenimiento.

14/35
 Esquema Nacional de Seguridad

Gestin de incidencias.
Desmantelamiento.

Asimismo, el personal de las Administraciones pblicas recibir la formacin especfica necesaria para
garantizar la seguridad de las tecnologas de la informacin aplicables a los sistemas y servicios de la
Administracin.

Las Administraciones pblicas exigirn, de manera objetiva y no discriminatoria, que las organizaciones
que les presten servicios de seguridad cuenten con profesionales cualificados y con unos niveles idneos
de gestin y madurez en los servicios prestados.

Autorizacin y control de los accesos

El acceso al sistema de informacin deber ser controlado y limitado a los usuarios,

procesos, dispositivos y otros sistemas de informacin, debidamente autorizados,
restringiendo el acceso a las funciones permitidas.

Proteccin de las instalaciones

Los sistemas se instalarn en reas separadas, dotadas de un procedimiento de

control de acceso.
Como mnimo, las salas deben estar cerradas y disponer de un control de llaves.

Adquisicin de productos de seguridad y contratacin de

servicios de seguridad
En la adquisicin de productos de seguridad de las tecnologas de la informacin y comunicaciones que
vayan a ser empleados por las Administraciones pblicas se utilizarn, de forma proporcionada a la
categora del sistema y nivel de seguridad determinados, aquellos que tengan certificada la funcionalidad
de seguridad relacionada con el objeto de su adquisicin, salvo en aquellos casos en que las exigencias
de proporcionalidad en cuanto a los riesgos asumidos no lo justifiquen a juicio del responsable de
Seguridad.

La citada certificacin deber estar de acuerdo con las normas y estndares de mayor
reconocimiento internacional, en el mbito de la seguridad funcional.

15/35
 Esquema Nacional de Seguridad

El Organismo de Certificacin del Esquema Nacional de Evaluacin y Certificacin de Seguridad de las

Tecnologas de la Informacin, dentro de sus competencias, determinar el criterio a cumplir en funcin
del uso previsto del producto a que se refiera, en relacin con el nivel de evaluacin, otras certificaciones
de seguridad adicionales que se requieran normativamente, as como, excepcionalmente, en los casos en
que no existan productos certificados.

El proceso indicado, se efectuar teniendo en cuenta los criterios y metodologas de evaluacin,

determinados por las normas internacionales que recoge la Orden PRE/2740/2007, de 19 de septiembre,
por la que se aprueba el Reglamento de Evaluacin y Certificacin de la Seguridad de las Tecnologas de
la Informacin.

Accede a la Orden PRE/2740/2007, de 19 de septiembre, por la que se aprueba el

Reglamento de Evaluacin y Certificacin de la Seguridad de las Tecnologas de la
Informacin.

Para la contratacin de servicios de seguridad se estar a lo dispuesto tanto en lo que

acabamos de tener en cuenta como a lo establecido en el Esquema Nacional de
Seguridad para todo aquello relacionado con la profesionalidad.

Seguridad por defecto

Los sistemas deben disearse y configurarse de forma que garanticen la seguridad por defecto:

El sistema proporcionar la mnima funcionalidad requerida para que la organizacin alcance sus
objetivos.
Las funciones de operacin, administracin y registro de actividad sern las mnimas necesarias,
y se asegurar que slo son accesibles por las personas, o desde emplazamientos o equipos,
autorizados, pudiendo exigirse en su caso restricciones de horario y puntos de acceso facultados.
En un sistema de explotacin se eliminarn o desactivarn, mediante el control de la
configuracin, las funciones que no sean de inters, sean innecesarias e, incluso, aquellas que
sean inadecuadas al fin que se persigue.
El uso ordinario del sistema ha de ser sencillo y seguro, de forma que una utilizacin insegura
requiera de un acto consciente por parte del usuario.

Integridad y actualizacin del sistema

Todo elemento fsico o lgico requerir autorizacin formal previa a su instalacin en el

sistema.

16/35
 Esquema Nacional de Seguridad

Se deber conocer en todo momento el estado de seguridad de los sistemas, en relacin a las
especificaciones de los fabricantes, a las vulnerabilidades y a las actualizaciones que les afecten,
reaccionando con diligencia para gestionar el riesgo a la vista del estado de seguridad de los mismos.

Proteccin de informacin almacenada y en trnsito

En la estructura y organizacin de la seguridad del sistema, se prestar especial atencin a la informacin
almacenada o en trnsito a travs de entornos inseguros.

Tendrn la consideracin de entornos inseguros:

Los equipos porttiles.

Asistentes personales (PDA).
Dispositivos perifricos.
Soportes de informacin y comunicaciones sobre redes abiertas o con cifrado dbil.

Forman parte de la seguridad los procedimientos que aseguren la recuperacin y conservacin a largo
plazo de los documentos electrnicos producidos por las Administraciones pblicas en el mbito de sus
competencias.

Adems, toda informacin en soporte no electrnico, que haya sido causa o consecuencia directa de la
informacin electrnica a la que se refiere el Esquema Nacional de Seguridad deber estar protegida con
el mismo grado de seguridad que sta.

Para ello se aplicarn las medidas que correspondan a la naturaleza del soporte en que se
encuentren, de conformidad con las normas de aplicacin a la seguridad de los mismos.

Prevencin ante otros sistemas de informacin interconectados

El sistema ha de proteger el permetro, en particular, si se conecta a redes pblicas.

17/35
 Esquema Nacional de Seguridad

Se entender por red pblica de comunicaciones la red de comunicaciones

electrnicas que se utiliza, en su totalidad o principalmente, para la prestacin
de servicios de comunicaciones electrnicas disponibles para el pblico, de
conformidad con lo establecido en la Ley 9/2014, de 9 de mayo, General de
Telecomunicaciones.
En todo caso se analizarn los riesgos derivados de la interconexin del sistema,
a travs de redes, con otros sistemas, y se controlar su punto de unin.

Puedes acceder en el siguiente enlace a la Ley 9/2014, de 9 de mayo, General de

Telecomunicaciones.

Registro de actividad
Con la finalidad exclusiva de lograr el cumplimiento del objeto del Esquema Nacional de Seguridad, con
plenas garantas del derecho al honor, a la intimidad personal y familiar y a la propia imagen de los
afectados, y de acuerdo con la normativa sobre proteccin de datos personales, de funcin pblica o
laboral, y dems disposiciones que resulten de aplicacin, se registrarn las actividades de los usuarios,
reteniendo la informacin necesaria para monitorizar, analizar, investigar y documentar actividades
indebidas o no autorizadas, permitiendo identificar en cada momento a la persona que acta.

Incidentes de seguridad
Se establecer un sistema de deteccin y reaccin frente a cdigo daino.

Tal y como establece el Esquema Nacional de Seguridad se dispondr de procedimientos de gestin de

incidentes de seguridad y de debilidades detectadas en los elementos del sistema de informacin.

Dichos procedimientos cubrirn:

Los mecanismos de deteccin.

Los criterios de clasificacin.
Los procedimientos de anlisis y resolucin.
Los cauces de comunicacin a las partes interesadas y el registro de las actuaciones.

Este registro se emplear para la mejora continua de la seguridad del sistema.

Continuidad de la actividad

18/35
 Esquema Nacional de Seguridad

Los sistemas dispondrn de copias de seguridad y establecern los mecanismos necesarios para
garantizar la continuidad de las operaciones, en caso de prdida de los medios habituales de trabajo.

Mejora continua del proceso de seguridad

El proceso integral de seguridad implantado deber ser actualizado y mejorado de forma
continua.
Para ello, se aplicarn los criterios y mtodos reconocidos en la prctica nacional e internacional
relativos a gestin de las tecnologas de la informacin.

Cumplimiento de requisitos mnimos

Para dar cumplimiento a los requisitos mnimos establecidos en el Esquema Nacional de Seguridad, las
Administraciones pblicas aplicarn las medidas de seguridad indicadas en el propio esquema, teniendo
en cuenta:

Los activos que constituyen el sistema.

La categora del sistema, segn lo previsto en el Esquema Nacional de Seguridad para las
categoras de los sistemas de informacin.
Las decisiones que se adopten para gestionar los riesgos identificados.

Cuando un sistema al que afecte el Esquema Nacional de Seguridad maneje datos de carcter personal le
ser de aplicacin lo dispuesto en la normativa en materia de proteccin de datos de carcter personal,
sin perjuicio de los requisitos establecidos en el Esquema Nacional de Seguridad.

Los medidas que acabamos de relatar tendrn la condicin de mnimos exigibles, y

podrn ser ampliados por causa de la concurrencia indicada o del prudente arbitrio del
responsable de la seguridad del sistema, habida cuenta:

Del estado de la tecnologa.

La naturaleza de los servicios prestados.
La informacin manejada.
Los riesgos a que estn expuestos.

La relacin de medidas seleccionadas se formalizar en un documento denominado

Declaracin de Aplicabilidad, firmado por el responsable de seguridad.

19/35
 Esquema Nacional de Seguridad

Las medidas de seguridad establecidas en el Esquema Nacional de Seguridad podrn ser reemplazadas
por otras compensatorias siempre y cuando se justifique documentalmente que protegen igual o mejor el
riesgo sobre los activos y se satisfacen los principios bsicos y los requisitos mnimos previstos en el
Esquema Nacional de Seguridad.

Como parte integral de la Declaracin de Aplicabilidad se indicar de forma detallada la correspondencia

entre las medidas compensatorias implantadas y las medidas que compensan y el conjunto ser objeto de
la aprobacin formal por parte del responsable de seguridad.

Infraestructuras y servicios comunes

La utilizacin de infraestructuras y servicios comunes reconocidos en las

Administraciones Pblicas facilitar el cumplimiento de los principios bsicos y
los requisitos mnimos exigidos en el Esquema Nacional de Seguridad en
condiciones de mejor eficiencia.
Los supuestos concretos de utilizacin de estas infraestructuras y servicios
comunes sern determinados por cada Administracin.

Instrucciones tcnicas de seguridad y guas de seguridad

Para el mejor cumplimiento de lo establecido en el Esquema Nacional de Seguridad, el

Centro Criptolgico Nacional, en el ejercicio de sus competencias, elaborar y difundir
las correspondientes guas de seguridad de las tecnologas de la informacin y las
comunicaciones.

El Ministerio de Hacienda y Administraciones Pblicas, a propuesta del Comit Sectorial de

Administracin Electrnica y a iniciativa del Centro Criptolgico Nacional, aprobar las instrucciones
tcnicas de seguridad de obligado cumplimiento y se publicarn mediante resolucin de la Secretara de
Estado de Administraciones Pblicas.

Para la redaccin y mantenimiento de las instrucciones tcnicas de seguridad se constituirn los

correspondientes grupos de trabajo en los rganos colegiados con competencias en materia de
administracin electrnica.

Las instrucciones tcnicas de seguridad tendrn en cuenta las normas armonizadas a

nivel europeo que resulten de aplicacin.

Sistemas de informacin no afectados

20/35
 Esquema Nacional de Seguridad

Las Administraciones pblicas podrn determinar aquellos sistemas de informacin a los que no les sea
de aplicacin lo dispuesto en el Esquema Nacional de Seguridad por tratarse de sistemas no relacionados
con el ejercicio de derechos ni con el cumplimiento de deberes por medios electrnicos ni con el acceso
por medios electrnicos de los ciudadanos a la informacin y al procedimiento administrativo.

Comunicaciones electrnicas

Condiciones tcnicas de seguridad de las comunicaciones

electrnicas

Las condiciones tcnicas de seguridad de las comunicaciones electrnicas en lo

relativo a la constancia de la transmisin y recepcin, de sus fechas, del
contenido integro de las comunicaciones y la identificacin fidedigna del
remitente y destinatario de las mismas sern implementadas de acuerdo con lo
establecido en el Esquema Nacional de Seguridad.
Las comunicaciones citadas anteriormente, tendrn el valor y la eficacia jurdica
que corresponda a su respectiva naturaleza, de conformidad con la legislacin
que resulte de aplicacin.

Requerimientos tcnicos de notificaciones y publicaciones

electrnicas
Las notificaciones y publicaciones electrnicas de resoluciones y actos administrativos se realizarn de
forma que cumplan las siguientes exigencias tcnicas:

Aseguren la autenticidad del organismo que lo publique.

Aseguren la integridad de la informacin publicada.
Dejen constancia de la fecha y hora de la puesta a disposicin del interesado de la resolucin o
acto objeto de publicacin o notificacin, as como del acceso a su contenido.
Aseguren la autenticidad del destinatario de la publicacin o notificacin.

Firma electrnica
Los mecanismos de firma electrnica se aplicarn en los trminos indicados por el Esquema Nacional de
Seguridad y de acuerdo con lo preceptuado en la poltica de firma electrnica y de certificados, segn se
establece en el Esquema Nacional de Interoperabilidad.

21/35
 Esquema Nacional de Seguridad

La poltica de firma electrnica y de certificados concretar:

Los procesos de generacin, validacin y conservacin de firmas electrnicas.

Las caractersticas y requisitos exigibles a los sistemas de firma electrnica.
Los certificados.
Los servicios de sellado de tiempo.
Otros elementos de soporte de las firmas

Todo ello debe entenderse sin perjuicio de lo previsto en las medidas de seguridad del
Esquema Nacional de Seguridad, que deber adaptarse a cada circunstancia.

Auditora de la Seguridad

Los sistemas de informacin a los que se refiere el Esquema Nacional de

Seguridad sern objeto de una auditora regular ordinaria, al menos cada dos
aos, que verifique el cumplimiento de los requerimientos del citado Esquema.
Con carcter extraordinario, deber realizarse dicha auditora siempre que se
produzcan modificaciones sustanciales en el sistema de informacin, que
puedan repercutir en las medidas de seguridad requeridas.
La realizacin de la auditoria extraordinaria determinar la fecha de cmputo
para el clculo de los dos aos, establecidos para la realizacin de la siguiente
auditora regular ordinaria.

La auditora se realizar en funcin de la categora del sistema as como de acuerdo con lo previsto en el
Esquema Nacional de Seguridad para las auditorias de seguridad.

La auditora profundizar en los detalles del sistema hasta el nivel que considere que
proporciona evidencia suficiente y relevante, dentro del alcance establecido para la
auditora.

Cabe destacar que en la realizacin de esta auditora se utilizarn los criterios, mtodos de trabajo y de
conducta generalmente reconocidos, as como la normalizacin nacional e internacional aplicables a este
tipo de auditoras de sistemas de informacin.

Adems, el informe de auditora deber dictaminar sobre:

22/35
 Esquema Nacional de Seguridad

El grado de cumplimiento del Esquema Nacional de Seguridad.

Identificar sus deficiencias.
Sugerir las posibles medidas correctoras o complementarias necesarias, as como las
recomendaciones que se consideren oportunas.

El informe de auditora deber incluir:

Los criterios metodolgicos de auditora utilizados.

El alcance y el objetivo de la auditora.
Los datos, hechos y observaciones en que se basen las conclusiones formuladas.

Los informes de auditora sern presentados al responsable del sistema y al responsable de seguridad
competentes.

Los citados informes sern analizados por el responsable de seguridad que presentar sus conclusiones al
responsable del sistema para que adopte las medidas correctoras adecuadas.

En el caso de los sistemas de categora ALTA, visto el dictamen de auditora, el

responsable del sistema podr acordar la retirada de operacin de alguna
informacin, de algn servicio o del sistema en su totalidad, durante el tiempo
que estime prudente y hasta la satisfaccin de las modificaciones prescritas.
Los informes de auditora podrn ser requeridos por los responsables de cada
organizacin con competencias sobre seguridad de las tecnologas de la
informacin.

Informe del estado de la seguridad

El Comit Sectorial de Administracin Electrnica recoger la informacin relacionada con el estado de
las principales variables de la seguridad en los sistemas de informacin a los que se refiere el Esquema
Nacional de Seguridad, de forma que permita elaborar un perfil general del estado de la seguridad en las
Administraciones pblicas.

Por otro lado, el Centro Criptolgico Nacional articular los procedimientos necesarios para la recogida y
consolidacin de la informacin, as como los aspectos metodolgicos para su tratamiento y explotacin,
a travs de los correspondientes grupos de trabajo que se constituyan al efecto en el Comit Sectorial de
Administracin Electrnica y en la Comisin de Estrategia TIC para la Administracin General del
Estado.

Respuesta a incidentes de seguridad

23/35
 Esquema Nacional de Seguridad

Capacidad de respuesta a incidentes de seguridad de la

informacin
El Centro Criptolgico Nacional articular la respuesta a los incidentes de seguridad en torno a la
estructura denominada CCN-CERT (Centro Criptolgico Nacional-Computer Emergency Reaction
Team), que actuar sin perjuicio de las capacidades de respuesta a incidentes de seguridad que pueda
tener cada administracin pblica y de la funcin de coordinacin a nivel nacional e internacional del
Centro Criptolgico Nacional.

Las Administraciones Pblicas notificarn al Centro Criptolgico Nacional aquellos

incidentes que tengan un impacto significativo en la seguridad de la informacin
manejada y de los servicios prestados en relacin con la categorizacin de sistemas
recogida en el Esquema Nacional de Seguridad.

Prestacin de servicios de respuesta a incidentes de seguridad

a las Administraciones pblicas
El CCN-CERT prestar a las Administraciones pblicas los siguientes servicios:

Soporte y coordinacin para el tratamiento de vulnerabilidades y la resolucin de incidentes de

seguridad que tengan la Administracin General del Estado, las Administraciones de las
comunidades autnomas, las entidades que integran la Administracin Local y las Entidades de
Derecho pblico con personalidad jurdica propia vinculadas o dependientes de cualquiera de las
administraciones indicadas. El CCN-CERT, a travs de su servicio de apoyo tcnico y de
coordinacin, actuar con la mxima celeridad ante cualquier agresin recibida en los sistemas
de informacin de las Administraciones pblicas. Para el cumplimiento de los fines indicados se
podrn recabar informes de auditora de los sistemas afectados, registros de auditora,
configuraciones y cualquier otra informacin que se considere relevante, as como los soportes
informticos que se estimen necesarios para la investigacin del incidente de los sistemas
afectados, sin perjuicio de lo dispuesto en la normativa vigente relativa a la proteccin de datos
de carcter personal, as como de la posible confidencialidad de datos de carcter institucional u
organizativo.
Investigacin y divulgacin de las mejores prcticas sobre seguridad de la informacin entre
todos los miembros de las Administraciones pblicas. Con esta finalidad, las series de
documentos CCN-STIC (Centro Criptolgico Nacional-Seguridad de las Tecnologas de
Informacin y Comunicaciones), elaboradas por el Centro Criptolgico Nacional, ofrecern
normas, instrucciones, guas y recomendaciones para aplicar el Esquema Nacional de Seguridad
y para garantizar la seguridad de los sistemas de tecnologas de la informacin en la
Administracin.
Formacin destinada al personal de la Administracin especialista en el campo de la seguridad
de las tecnologas de la informacin, al objeto de facilitar la actualizacin de conocimientos del
personal de la Administracin y de lograr la sensibilizacin y mejora de sus capacidades para la
deteccin y gestin de incidentes.
Informacin sobre vulnerabilidades, alertas y avisos de nuevas amenazas a los sistemas de
informacin, recopiladas de diversas fuentes de reconocido prestigio, incluidas las propias.

24/35
 Esquema Nacional de Seguridad

El CCN desarrollar un programa que ofrezca la informacin, formacin,

recomendaciones y herramientas necesarias para que las Administraciones pblicas
puedan desarrollar sus propias capacidades de respuesta a incidentes de seguridad, y en
el que, aqul, ser coordinador a nivel pblico estatal.

Normas de conformidad

Sedes y registros electrnicos

La seguridad de las sedes y registros electrnicos, as como la del acceso electrnico de los ciudadanos a
los servicios pblicos, se regirn por lo establecido en el Esquema Nacional de Seguridad.

Ciclo de vida de servicios y sistemas

Las especificaciones de seguridad se incluirn en el ciclo de vida de los servicios y sistemas,
acompaadas de los correspondientes procedimientos de control.

Mecanismos de control
Cada rgano de la Administracin pblica o Entidad de Derecho Pblico establecer sus mecanismos de
control para garantizar de forma real y efectiva el cumplimiento del Esquema Nacional de Seguridad.

Publicacin de conformidad
Los rganos y Entidades de Derecho Pblico darn publicidad en las correspondientes sedes electrnicas
a las declaraciones de conformidad, y a los distintivos de seguridad de los que sean acreedores,
obtenidos respecto al cumplimiento del Esquema Nacional de Seguridad.

Actualizacin permanente
El Esquema Nacional de Seguridad se deber mantener actualizado de manera permanente. Se
desarrollar y perfeccionar a lo largo del tiempo, en paralelo al progreso de los servicios de
Administracin electrnica, de la evolucin tecnolgica y nuevos estndares internacionales sobre
seguridad y auditora en los sistemas y tecnologas de la informacin y a medida que vayan
consolidndose las infraestructuras que le apoyan.

Categorizacin de los sistemas de informacin

Categoras

25/35
 Esquema Nacional de Seguridad

La categora de un sistema de informacin, en materia de seguridad, modular el

equilibrio entre la importancia de la informacin que maneja, los servicios que presta y
el esfuerzo de seguridad requerido, en funcin de los riesgos a los que est expuesto,
bajo el criterio del principio de proporcionalidad.

La determinacin de la categora se efectuar en funcin de la valoracin del impacto que tendra un

incidente que afectara a la seguridad de la informacin o de los servicios con perjuicio para la
disponibilidad, autenticidad, integridad, confidencialidad o trazabilidad, como dimensiones de seguridad,
siguiendo el procedimiento establecido por el Esquema Nacional de Seguridad.

La valoracin de las consecuencias de un impacto negativo sobre la seguridad de la informacin y de los

servicios se efectuar atendiendo a su repercusin en la capacidad de la organizacin para el logro de sus
objetivos, la proteccin de sus activos, el cumplimiento de sus obligaciones de servicio, el respeto de la
legalidad y los derechos de los ciudadanos.

Facultades
La facultad para efectuar las valoraciones as como la modificacin posterior, en su caso, corresponder,
dentro del mbito de su actividad, al responsable de cada informacin o servicio.

La facultad para determinar la categora del sistema corresponder al responsable del mismo.

Categoras de los sistemas

Fundamentos para la determinacin de la categora de un

sistema
La determinacin de la categora de un sistema se basa en la valoracin del impacto que tendra sobre la
organizacin un incidente que afectara a la seguridad de la informacin o de los sistemas, con
repercusin en la capacidad organizativa para:

Alcanzar sus objetivos.

Proteger los activos a su cargo.
Cumplir sus obligaciones diarias de servicio.
Respetar la legalidad vigente.
Respetar los derechos de las personas.

26/35
 Esquema Nacional de Seguridad

La determinacin de la categora de un sistema se realizar de acuerdo con lo

establecido en el Esquema Nacional de Seguridad, y ser de aplicacin a todos los
sistemas empleados para la prestacin de los servicios de la Administracin electrnica
y soporte del procedimiento administrativo general.

Dimensiones de la seguridad
A fin de poder determinar el impacto que tendra sobre la organizacin un incidente que afectara a la
seguridad de la informacin o de los sistemas, y de poder establecer la categora del sistema, se tendrn
en cuenta las siguientes dimensiones de la seguridad, que sern identificadas por sus correspondientes
iniciales en maysculas:

Disponibilidad [D].
Autenticidad [A].
Integridad [I].
Confidencialidad [C].
Trazabilidad [T].

Determinacin del nivel requerido en una dimensin de

seguridad
Una informacin o un servicio pueden verse afectados en una o ms de sus dimensiones de seguridad.

Cada dimensin de seguridad afectada se adscribir a uno de los siguientes niveles: BAJO, MEDIO o
ALTO. Si una dimensin de seguridad no se ve afectada, no se adscribir a ningn nivel.

27/35
 Esquema Nacional de Seguridad

Nivel BAJO

Se utilizar cuando las consecuencias de un incidente de seguridad que afecte a alguna de las
dimensiones de seguridad supongan un perjuicio limitado sobre las funciones de la organizacin,
sobre sus activos o sobre los individuos afectados.

Se entender por perjuicio limitado:

La reduccin de forma apreciable de la capacidad de la organizacin para atender eficazmente

con sus obligaciones corrientes, aunque estas sigan desempendose.
El sufrimiento de un dao menor por los activos de la organizacin.
El incumplimiento formal de alguna ley o regulacin, que tenga carcter de subsanable.
Causar un perjuicio menor a algn individuo, que an siendo molesto pueda ser fcilmente
reparable.
Otros de naturaleza anloga.

Nivel MEDIO

Se utilizar cuando las consecuencias de un incidente de seguridad que afecte a alguna de las
dimensiones de seguridad supongan un perjuicio grave sobre las funciones de la organizacin, sobre
sus activos o sobre los individuos afectados.

Se entender por perjuicio grave:

La reduccin significativa la capacidad de la organizacin para atender eficazmente a sus

obligaciones fundamentales, aunque estas sigan desempendose.
El sufrimiento de un dao significativo por los activos de la organizacin.
El incumplimiento material de alguna ley o regulacin, o el incumplimiento formal que no
tenga carcter de subsanable.
Causar un perjuicio significativo a algn individuo, de difcil reparacin.
Otros de naturaleza anloga.

28/35
 Esquema Nacional de Seguridad

Nivel ALTO

Se utilizar cuando las consecuencias de un incidente de seguridad que afecte a alguna de las
dimensiones de seguridad supongan un perjuicio muy grave sobre las funciones de la organizacin,
sobre sus activos o sobre los individuos afectados.

Se entender por perjuicio muy grave:

La anulacin de la capacidad de la organizacin para atender a alguna de sus obligaciones

fundamentales y que stas sigan desempendose.
El sufrimiento de un dao muy grave, e incluso irreparable, por los activos de la
organizacin.
El incumplimiento grave de alguna ley o regulacin.
Causar un perjuicio grave a algn individuo, de difcil o imposible reparacin.
Otros de naturaleza anloga.

Cuando un sistema maneje diferentes informaciones y preste diferentes servicios, el

nivel del sistema en cada dimensin ser el mayor de los establecidos para cada
informacin y cada servicio.

Determinacin de la categora de un sistema de informacin

Se definen tres categoras: BSICA, MEDIA y ALTA.

Un sistema de informacin ser de categora ALTA si alguna de sus dimensiones de seguridad

alcanza el nivel ALTO.
Un sistema de informacin ser de categora MEDIA si alguna de sus dimensiones de seguridad
alcanza el nivel MEDIO, y ninguna alcanza un nivel superior.
Un sistema de informacin ser de categora BSICA si alguna de sus dimensiones de seguridad
alcanza el nivel BAJO, y ninguna alcanza un nivel superior.

La determinacin de la categora de un sistema sobre la base de lo indicado en el

apartado anterior no implicar que se altere, por este hecho, el nivel de las dimensiones
de seguridad que no han influido en la determinacin de la categora del mismo.

Secuencia de actuaciones para determinar la categora de un

sistema

29/35
 Esquema Nacional de Seguridad

Identificacin del nivel correspondiente a cada informacin y servicio, en

funcin de las dimensiones de seguridad, teniendo en cuenta lo establecido en el
Esquema Nacional de Seguridad para la determinacin del nivel requerido en
una dimensin de seguridad.
Determinacin de la categora del sistema, segn lo establecido en el Esquema
Nacional de Seguridad para la determinacin de la categora de un sistema de
informacin.

Medidas de seguridad

Debido a su complejidad se adjunta un Pdf con la relacin de las Medidas de Seguridad.

Auditora de la seguridad

Objeto de la auditora
La seguridad de los sistemas de informacin de una organizacin ser auditada en los siguientes
trminos:

Que la poltica de seguridad define los roles y funciones de los responsables de la informacin,
los servicios, los activos y la seguridad del sistema de informacin.
Que existen procedimientos para resolucin de conflictos entre dichos responsables.
Que se han designado personas para dichos roles a la luz del principio de separacin de
funciones.
Que se ha realizado un anlisis de riesgos, con revisin y aprobacin anual.
Que se cumplen las recomendaciones de proteccin descritas en el anexo II, sobre Medidas de
Seguridad, en funcin de las condiciones de aplicacin en cada caso.
Que existe un sistema de gestin de la seguridad de la informacin, documentado y con un
proceso regular de aprobacin por la direccin.

Adems, la auditora se basar en la existencia de evidencias que permitan sustentar objetivamente el

cumplimiento de los puntos mencionados:

Documentacin de los procedimientos.

Registro de incidentes.
Examen del personal afectado: conocimiento y praxis de las medidas que le afectan.

30/35
 Esquema Nacional de Seguridad

Productos certificados. Se considerar evidencia suficiente el empleo de productos que

satisfagan lo establecido en el artculo 18 Adquisicin de productos y contratacin de servicios
de seguridad.

Niveles de auditora
Los niveles de auditora que se realizan a los sistemas de informacin, sern los siguientes:

Auditora a sistemas de categora BSICA.

Los sistemas de informacin de categora BSICA, o inferior, no necesitarn realizar una

auditora. Bastar una autoevaluacin realizada por el mismo personal que administra el sistema
de informacin, o en quien ste delegue. El resultado de la autoevaluacin debe estar
documentado, indicando si cada medida de seguridad est implantada y sujeta a revisin regular
y las evidencias que sustentan la valoracin anterior.
Los informes de autoevaluacin sern analizados por el responsable de seguridad competente,
que elevar las conclusiones al responsable del sistema para que adopte las medidas correctoras
adecuadas.

Auditora a sistemas de categora MEDIA O ALTA.

El informe de auditora dictaminar sobre el grado de cumplimiento del Esquema Nacional de

Seguridad, identificar sus deficiencias y sugerir las posibles medidas correctoras o
complementarias que sean necesarias, as como las recomendaciones que se consideren
oportunas. Deber, igualmente, incluir los criterios metodolgicos de auditora utilizados, el
alcance y el objetivo de la auditora, y los datos, hechos y observaciones en que se basen las
conclusiones formuladas.
Los informes de auditora sern analizados por el responsable de seguridad competente, que
presentar sus conclusiones al responsable del sistema para que adopte las medidas correctoras
adecuadas.

Interpretacin
La interpretacin del presente anexo se realizar segn el sentido propio de sus palabras, en relacin con
el contexto, antecedentes histricos y legislativos, entre los que figura lo dispuesto en la instruccin
tcnica CCN-STIC correspondiente, atendiendo al espritu y finalidad de aquellas.

Relaciona los siguientes elementos

Resumen

Resumen de la unidad

31/35
 Esquema Nacional de Seguridad

Ejercicios

Ejercicio 1: Sedes electrnicas locales.

15

Localice, en Internet, cinco ejemplos de sedes electrnicas de mbito local.

Ejercicio 2: Iniciacin de procedimientos

15

Localice, en Internet, cinco pginas Web de cualquier Administracin Pblica en la que puedan iniciarse
procedimientos.

Pasos a seguir
1. Lo ms prctico es utilizar algn buscador como puede ser Google o Yahoo.
2. No obstante si an as se siguen teniendo dificultades para buscar informacin en Internet
recomiendo la lectura de este interesante artculo de lvaro Ibez: Cmo buscar y encontrar
informacin en Internet

32/35
 Esquema Nacional de Seguridad

Recursos

Enlaces de Inters
https://www.boe.es/buscar/act.php?id=BOE-A-2010-1330
Real Decreto 3/2010, de 8 de Enero.

https://www.boe.es/buscar/act.php?id=BOE-A-2007-16830
Orden PRE/2740/2007, de 19 de Septiembre

https://www.boe.es/diario_boe/txt.php?id=BOE-A-2014-4950
Ley 9/2014, 9 de Mayo, General de Telecomunicaciones

http://www.boe.es/buscar/act.php?id=BOE-A-2010-1330
Real Decreto 3/2010, de 8 de enero

http://www.boe.es/diario_boe/txt.php?id=BOE-A-2014-4950
La Ley 9/2014, de 9 de mayo, General de Telecomunicaciones.

Glosario.

Activo: Componente o funcionalidad de un sistema de informacin susceptible de ser atacado

deliberada o accidentalmente con consecuencias para la organizacin. Incluye: informacin,
datos, servicios, aplicaciones (software), equipos (hardware), comunicaciones, recursos
administrativos, recursos fsicos y recursos humanos.

Anlisis de riesgos: Utilizacin sistemtica de la informacin disponible para identificar

peligros y estimar los riesgos.

Auditora de la seguridad: Revisin y examen independientes de los registros y actividades del

sistema para verificar la idoneidad de los controles del sistema, asegurar que se cumplen la
poltica de seguridad y los procedimientos operativos establecidos, detectar las infracciones de la
seguridad y recomendar modificaciones apropiadas de los controles, de la poltica y de los
procedimientos.

Autenticidad: Propiedad o caracterstica consistente en que una entidad es quien dice ser o bien
que garantiza la fuente de la que proceden los datos.

33/35
 Esquema Nacional de Seguridad

Categora de un sistema: Es un nivel, dentro de la escala Bsica-Media-Alta, con el que se

adjetiva un sistema a fin de seleccionar las medidas de seguridad necesarias para el mismo. La
categora del sistema recoge la visin holstica del conjunto de activos como un todo armnico,
orientado a la prestacin de unos servicios.

Confidencialidad: Propiedad o caracterstica consistente en que la informacin ni se pone a

disposicin, ni se revela a individuos, entidades o procesos no autorizados.

Disponibilidad: Propiedad o caracterstica de los activos consistentes en que las entidades o

procesos autorizados tienen acceso a los mismos cuando lo requieren.

Gestin de incidentes: Plan de accin para atender a los incidentes que se den. Adems de
resolverlos debe incorporar medidas de desempeo que permitan conocer la calidad del sistema
de proteccin y detectar tendencias antes de que se conviertan en grandes problemas.

Gestin de riesgos: Actividades coordinadas para dirigir y controlar una organizacin con
respecto a los riesgos.

Incidente de seguridad: Suceso inesperado o no deseado con consecuencias en detrimento de la

seguridad del sistema de informacin.

Integridad: Propiedad o caracterstica consistente en que el activo de informacin no ha sido

alterado de manera no autorizada.

Medidas de seguridad: Conjunto de disposiciones encaminadas a protegerse de los riesgos

posibles sobre el sistema de informacin, con el fin de asegurar sus objetivos de seguridad.
Puede tratarse de medidas de prevencin, de disuasin, de proteccin, de deteccin y reaccin, o
de recuperacin.

Poltica de firma electrnica: Conjunto de normas de seguridad, de organizacin, tcnicas y

legales para determinar cmo se generan, verifican y gestionan firmas electrnicas, incluyendo
las caractersticas exigibles a los certificados de firma.

Poltica de seguridad: Conjunto de directrices plasmadas en documento escrito, que rigen la

forma en que una organizacin gestiona y protege la informacin y los servicios que considera
crticos.

Principios bsicos de seguridad: Fundamentos que deben regir toda accin orientada a asegurar
la informacin y los servicios.

34/35
 Esquema Nacional de Seguridad

Proceso: Conjunto organizado de actividades que se llevan a cabo para producir a un producto o
servicio; tiene un principio y fin delimitado, implica recursos y da lugar a un resultado.

Proceso de seguridad: Mtodo que se sigue para alcanzar los objetivos de seguridad de la
organizacin. El proceso se disea para identificar, medir, gestionar y mantener bajo control los
riesgos a que se enfrenta el sistema en materia de seguridad.

Requisitos mnimos de seguridad: Exigencias necesarias para asegurar la informacin y los

servicios.

Riesgo: Estimacin del grado de exposicin a que una amenaza se materialice sobre uno o ms
activos causando daos o perjuicios a la organizacin.

Seguridad de las redes y de la informacin: Es la capacidad de las redes o de los sistemas de

informacin de resistir, con un determinado nivel de confianza, los accidentes o acciones ilcitas
o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y
confidencialidad de los datos almacenados o transmitidos y de los servicios que dichas redes y
sistemas ofrecen o hacen accesibles.

Servicios acreditados: Servicios prestados por un sistema con autorizacin concedida por la
autoridad responsable, para tratar un tipo de informacin determinada, en unas condiciones
precisas de las dimensiones de seguridad, con arreglo a su concepto de operacin.

SGSI: Sistema de gestin que, basado en el estudio de los riesgos, se establece para crear,
implementar, hacer funcionar, supervisar, revisar, mantener y mejorar la seguridad de la
informacin. El sistema de gestin incluye la estructura organizativa, las polticas, las
actividades de planificacin, las responsabilidades, las prcticas, los procedimientos, los
procesos y los recursos.

Sistema de informacin: Conjunto organizado de recursos para que la informacin se pueda

recoger, almacenar, procesar o tratar, mantener, usar, compartir, distribuir, poner a disposicin,
presentar o transmitir.

Trazabilidad: Propiedad o caracterstica consistente en que las actuaciones de una entidad

pueden ser imputadas exclusivamente a dicha entidad.

Vulnerabilidad: Una debilidad que puede ser aprovechada por una amenaza.

35/35