Beruflich Dokumente
Kultur Dokumente
Nm. 224
ndice
1.Introduccin.
1.1
1.2
1.3
1.4
1.5
Base Legal.
Objetivo de este Documento.
Finalidad y Contenido del PSO.
Mtodo de Revisin y Actualizacin.
Proteccin y Gestin de la Informacin y Documentacin.
cve: BOE-A-2015-10060
Verificable en http://www.boe.es
cve: BOE-A-2015-10060
Verificable en http://www.boe.es
Por su parte, el artculo 22.4 del Real Decreto 704/2011 responsabiliza a la Secretara
de Estado de Seguridad (rgano superior responsable del Sistema de Proteccin de
Infraestructuras Crticas Nacionales, conforme al artculo 6 de la Ley 8/2011), a travs del
CNPIC, del establecimiento y puesta a disposicin de los operadores crticos de los
contenidos mnimos con los que deben contar los PSO, as como el modelo en el que
basar la elaboracin de los mismos.
1.2 Objetivo de este Documento.
Con el presente documento se pretende dar cumplimiento a las instrucciones
emanadas del Real Decreto 704/2011, estableciendo los contenidos mnimos sobre los
que se debe de apoyar un operador crtico a la hora del diseo y elaboracin de su PSO.
A su vez, se establecen algunos puntos explicativos sobre aspectos recogidos en la
normativa de referencia.
Igualmente, se pretende orientar a aquellos operadores que hayan sido o vayan a ser
designados como crticos en el diseo y elaboracin de su respectivo Plan, con el fin de
que estos puedan definir el contenido de su poltica general y el marco organizativo de
seguridad, que encontrar su desarrollo especfico en los PPE de cada una de sus
infraestructuras crticas.
1.3 Finalidad y contenido del PSO.
El PSO definir la poltica general del operador para garantizar la seguridad integral
del conjunto de instalaciones o sistemas de su propiedad o gestin.
El PSO, como instrumento de planificacin del Sistema de Proteccin de
Infraestructuras Crticas, contendr, adems de un ndice referenciado sobre los
contenidos del Plan, informacin sobre:
Poltica general de seguridad del operador y marco de gobierno.
Relacin de Servicios Esenciales prestados por el operador crtico.
Metodologa de anlisis de riesgo (amenazas fsicas y de ciberseguridad).
Criterios de aplicacin de Medidas de Seguridad Integral.
1.4 Mtodo de revisin y actualizacin
Conforme al artculo 24 del Real Decreto 704/2011 de 20 de mayo, por el que se
aprueba el Reglamento de proteccin de las infraestructuras crticas, entre las obligaciones
del operador, adems de la elaboracin y presentacin del PSO al Centro Nacional para la
Proteccin de las Infraestructuras Crticas (en adelante CNPIC), se incluye su revisin y
actualizacin peridica:
Revisin: Bienal.
Actualizacin: Cuando se produzca algn tipo de modificacin en los datos incluidos
en el PSO. En este caso, el PSO quedar actualizado cuando dichas modificaciones
hayan sido validadas por el CNPIC, o en las condiciones establecidas en su normativa
sectorial especfica.
Independientemente de todo ello, en el caso de que varen algunas de las
circunstancias indicadas en el PSO (modificacin de datos, identificacin de nuevas
infraestructuras crticas, baja de infraestructuras crticas, cese de condiciones para ser
considerado operador crtico, etc), el operador deber trasladar la informacin oportuna
al CNPIC, a travs de los canales habilitados al efecto (Sistema HERMES/PoC oficial), en
el plazo mximo de diez das a partir de las circunstancias variadas.
1.5 Proteccin y Gestin de la informacin y documentacin.
La informacin es un valor estratgico para cualquier organizacin, siendo sta de
carcter sensible, por lo que en este sentido, el operador debe definir sus procedimientos
de gestin y tratamiento, as como los estndares de seguridad precisos para prestar una
cve: BOE-A-2015-10060
Verificable en http://www.boe.es
Nm. 224
cve: BOE-A-2015-10060
Verificable en http://www.boe.es
cve: BOE-A-2015-10060
Verificable en http://www.boe.es
cve: BOE-A-2015-10060
Verificable en http://www.boe.es
Nm. 224
El operador crtico deber hacer constar en este apartado el nombre y datos de contacto
(direccin, telfonos y email) de la persona designada como Delegado de Seguridad, as
como de su sustituto, con idnticas condiciones, cumpliendo los plazos establecidos desde
su designacin como operador crtico, as como su participacin a las Autoridades
correspondientes, segn lo establecido en el artculo 35.1 del Real Decreto 704/2011.
Es aconsejable que tanto el Delegado de Seguridad como su sustituto sean poseedores
de titulacin relativa a la rama de seguridad, adems de pertenecer al departamento de
seguridad de la entidad en cuestin.
Sus funciones en relacin con el artculo 35.2 del Real Decreto 704/2011, son las
siguientes:
Ser el enlace operativo y el canal de informacin con las autoridades competentes
en materias relativas a la seguridad de sus infraestructuras.
Canalizar las necesidades operativas e informativas que surjan, a nivel
infraestructura, entre el operador y las autoridades competentes.
2.2.2 Formacin y Concienciacin.
El operador crtico deber colaborar con los programas o ejercicios que puedan
derivarse del Plan Estratgico Sectorial, as como en su momento de los Planes de Apoyo
Operativo.
El operador crtico reflejar en este apartado el Plan de Formacin previsto para el
personal relacionado con la proteccin de las infraestructuras crticas, indicando la
duracin, objetivos que se pretende conseguir, mecanismos de evaluacin que se
contemplan para el mismo y periodos de actualizacin. As mismo, se incluir el
responsable del plan y la capacitacin del mismo.
En el caso de que disponga de un Plan de Formacin General, especificar la parte
relacionada con la proteccin de las infraestructuras crticas, y la incluir en este punto.
El operador crtico deber reflejar en este apartado su participacin en ejercicios de
simulacin en incidentes de seguridad (fsicos y cibernticos), y la periodicidad programada
para tales ejercicios.
El personal implicado directamente en la proteccin de los servicios esenciales e
infraestructuras crticas deber ser formado para alcanzar conocimientos, a nivel bsico:
Sobre seguridad integral (seguridad fsica y ciberseguridad).
Sobre autoproteccin.
Sobre seguridad del medio ambiente.
Sobre habilidades organizativas y de comunicacin.
Sobre sus responsabilidades/actuaciones en caso de materializarse un incidente, o
en el caso de que se active un nivel de amenaza 4 5 del Plan de Prevencin y Proteccin
Antiterrorista y/o del Plan Nacional de Proteccin de las Infraestructuras Crticas.
El personal no directamente implicado deber ser concienciado mediante la aplicacin
de las polticas de formacin y operacionales activas en la organizacin.
2.2.3 Modelo de Gestin aplicado.
La seguridad integral depende de un proceso de gestin que debe aportar el control
organizativo y tcnico necesario para determinar en todo momento el nivel de exposicin
a las amenazas y el nivel de proteccin y respuesta que es capaz de proporcionar la
organizacin para la proteccin y seguridad de sus servicios esenciales e Infraestructuras
Crticas.
Por tanto, de acuerdo con la Poltica de Seguridad marcada, el operador crtico deber
recoger dentro del PSO su modelo de gestin elegido, que deber contemplar como
mnimo:
Una implementacin de controles de seguridad alineada con las prioridades y
necesidades evaluadas.
cve: BOE-A-2015-10060
Verificable en http://www.boe.es
Nm. 224
cve: BOE-A-2015-10060
Verificable en http://www.boe.es
cve: BOE-A-2015-10060
Verificable en http://www.boe.es
Nm. 224
cve: BOE-A-2015-10060
Verificable en http://www.boe.es
Nm. 224
cve: BOE-A-2015-10060
Verificable en http://www.boe.es
Nm. 224
ANEXO II
Gua de contenidos mnimos
Plan de Proteccin Especfico (PPE)
ndice
1.Introduccin.
1.1
1.2
1.3
1.4
1.5
Base Legal.
Objetivo de este Documento.
Finalidad y Contenido del PPE.
Mtodo de Revisin y Actualizacin.
Proteccin y Gestin de la Informacin y Documentacin.
2. Aspectos Organizativos.
2.1
2.2
2.3
2.4
Organigrama de Seguridad.
Delegados de Seguridad de las Infraestructuras Crticas.
Mecanismos de Coordinacin.
Mecanismos y Responsables de Aprobacin.
Segn establece la Ley 8/2011, de 28 de abril, por la que se establecen medidas para
la proteccin de las infraestructuras crticas, el operador designado como crtico, ya sea
ste perteneciente al sector pblico o al privado, se integrar como agente del sistema de
proteccin de infraestructuras crticas, debiendo cumplir con una serie de responsabilidades
recogidas en su artculo 13.
De acuerdo con en el punto 1, letra d, del citado artculo, el operador deber elaborar
un Plan de Proteccin Especfico (en adelante, PPE) por cada una de las infraestructuras
crticas de las que sea propietario o gestor.
El Real Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento de
proteccin de las infraestructuras crticas, a travs del cual se da desarrollo reglamentario
a la Ley 8/2011, establece, en su captulo IV del Ttulo III sobre los Instrumentos de
Planificacin, aquellos aspectos relativos a la elaboracin, finalidad y contenido de dichos
planes, adems de su aprobacin o modificacin, registro, clasificacin y formas de
revisin y actualizacin, as como las autoridades encargadas de su aplicacin y
seguimiento, y la compatibilidad con otros planes ya existentes.
cve: BOE-A-2015-10060
Verificable en http://www.boe.es
cve: BOE-A-2015-10060
Verificable en http://www.boe.es
Nm. 224
cve: BOE-A-2015-10060
Verificable en http://www.boe.es
2. Aspectos organizativos.
2.1 Organigrama de seguridad.
El operador crtico debe presentar grficamente la estructura organizativa funcional
que en materia de seguridad integral existe en la infraestructura crtica, con indicacin de
todos los actores que participan en aquella, su rol de responsabilidad y su jerarqua en el
proceso de toma de decisiones. Del mismo modo, se debe establecer la dependencia de
esta estructura con aquella definida en el correspondiente Plan de Seguridad del Operador.
2.2 Delegados de Seguridad de las Infraestructuras Crticas.
Conforme al artculo 17 de la Ley 8/2011, el operador crtico con infraestructuras
designadas como crticas o criticas europeas comunicar a las Delegaciones del Gobierno
en las CC.AA. y en las Ciudades con Estatuto de Autonoma o, en su caso, al rgano
competente de la Comunidad Autnoma con competencias estatutariamente reconocidas
para la proteccin de personas y bienes y para el mantenimiento del orden pblico donde
aquellas se ubiquen, la persona designada como Delegado de Seguridad y su sustituto.
Esta comunicacin deber realizarse tambin al CNPIC, en el plazo de tres meses desde
la designacin de una infraestructura como crtica.
El operador crtico deber hacer constar en este apartado el nombre y datos de
contacto (direccin, telfonos y email) de la persona designada como Delegado de
Seguridad as como de su sustituto, con idnticas condiciones, cumpliendo los plazos
establecidos desde su designacin, as como su participacin a las Autoridades
correspondientes, segn lo establecido en el artculo 35.1 del Real Decreto 704/2011.
Es aconsejable que tanto el Delegado de Seguridad como su sustituto sean poseedores
de titulacin relativa a la rama de seguridad, adems de pertenecer al departamento de
seguridad de la entidad en cuestin.
Sus funciones en relacin con el artculo 35.2 del Real Decreto 704/2011, son las
siguientes:
Ser el enlace operativo y el canal de informacin con las autoridades competentes
en materia relativa a la seguridad de sus infraestructuras.
Canalizar las necesidades operativas e informativas que surjan.
El operador crtico deber reflejar en este apartado los cursos o formacin que el
Delegado de Seguridad haya recibido, relacionados con las habilidades necesarias para el
desempeo del puesto, de acuerdo con el Plan de Formacin previsto en el PSO.
2.3 Mecanismos de Coordinacin.
El operador crtico deber reflejar dentro de su PPE los mecanismos existentes de
coordinacin:
Entre el Delegado de Seguridad de la infraestructura crtica con otros Delegados de
otras infraestructuras crticas y con el Responsable de Seguridad y Enlace del propio
operador.
Con autoridades y terceros (Fuerzas y Cuerpos de Seguridad del Estado/Cuerpos
Policiales autonmicos y locales/CNPIC/otros).
Con otros planes existentes del operador (planes de continuidad de negocio, planes
de evacuacin, etc.).
Con el CERT de Seguridad e Industria (CERTSI) identificando los puntos de contacto
del operador en los 3 niveles requeridos: el institucional, y el directivo y el tcnico, todos
ellos referidos a en la gestin de incidentes.
Con los proveedores crticos que se especifiquen a tenor del desarrollo de lo
establecido en el punto 3.2.
cve: BOE-A-2015-10060
Verificable en http://www.boe.es
Nm. 224
cve: BOE-A-2015-10060
Verificable en http://www.boe.es
Nm. 224
cve: BOE-A-2015-10060
Verificable en http://www.boe.es
Nm. 224
Las dirigidas al entorno cercano o elementos interdependientes tanto del antepermetro fsico como lgico que puedan afectar a la infraestructura.
Las amenazas que afecten a los sistemas de informacin que den soporte a la
operacin de la infraestructura crtica y todos los que estn conectados a dichos sistemas
sin contar con las adecuadas medidas de segmentacin.
Las amenazas que afecten a los sistemas y servicios que soportan la seguridad
integral.
4.2 Medidas de seguridad integral existentes.
El operador deber describir las medidas de seguridad integral (medidas de proteccin
de las instalaciones, equipos, datos, software de base y aplicativos, personal y
documentacin) implantadas en la actualidad, con las que se ha contado para la realizacin
del anlisis de riesgos. Deber distinguir entre las medidas de carcter permanente, y
aquellas temporales y graduales.
Por medidas permanentes se entienden aquellas medidas concretas ya adoptadas por
el operador crtico, as como aquellas que considere necesarias instalar en funcin del
resultado del anlisis de riesgo realizado respecto de los riesgos, amenazas y
consecuencias/impacto sobre sus activos, dirigidas todas ellas a garantizar la seguridad
integral de su instalacin catalogada como crtica de manera continua.
Por medidas temporales y graduales se entienden aquellas medidas de seguridad de
carcter extraordinario que reforzarn a las permanentes y que se debern implementar
de forma ascendente a raz de la activacin de alguno de los niveles de seguridad
establecidos respectivamente en el Plan Nacional de Proteccin de las Infraestructuras
Crticas (artculo 16.3 del RD 704/2011), en coordinacin con el Plan de Prevencin y
Proteccin Antiterrorista, principalmente para los niveles 4 y 5, o bien como consecuencia
de las comunicaciones que las autoridades competentes puedan efectuar al operador
crtico en relacin con una amenaza concreta y temporal sobre la instalacin por l
gestionada.
Dichas medidas debern permanecer activas durante el tiempo que est establecido
el nivel de alarma, modificndose gradualmente en funcin de dicho nivel.
Para su mejor comprensin, se recomienda una aproximacin por capas para cada
nivel, siendo la escala de niveles del 1 al 5 (nivel 1: riesgo bajo; nivel 2: riesgo moderado;
nivel 3 riesgo medio; nivel 4: riesgo alto; nivel 5: riesgo muy alto), especificando para cada
nivel las medidas de prevencin y proteccin, el tiempo de respuesta y el tiempo de
recuperacin.
En concreto, el operador deber describir las medidas concretas de que dispone
relativas a:
4.2.1 Organizativas o de Gestin.
El operador deber indicar si dispone de al menos de las siguientes medidas
organizativas o de gestin, y el alcance de cada una de ellas:
Anlisis de Riesgos: Evaluacin y valoracin de las amenazas, impactos y
probabilidades para obtener un nivel de riesgo.
Definicin de roles y responsabilidades: Asignacin de responsabilidades en materia
de seguridad.
Cuerpo normativo definido: Polticas, procedimientos y estndares de seguridad.
Normas y/o regulaciones de aplicacin a la infraestructura crtica, as como
identificacin de su nivel de cumplimiento.
Certificacin, acreditacin y evaluacin de seguridad obtenidas para la infraestructura
crtica.
cve: BOE-A-2015-10060
Verificable en http://www.boe.es
Nm. 224
cve: BOE-A-2015-10060
Verificable en http://www.boe.es
En particular, debern detallarse los riesgos asumidos en activos con niveles de impacto
elevado y baja probabilidad de ocurrencia, que debern ser validados por el CNPIC.
cve: BOE-A-2015-10060
Verificable en http://www.boe.es
cve: BOE-A-2015-10060
Verificable en http://www.boe.es
Seguridad Fsica.
Ciberseguridad.
Seguridad de la Informacin.
Seguridad Personal.
Seguridad Ambiental.
Autoproteccin y Prevencin de Riesgos Laborales.
http://www.boe.es
BOLETNOFICIALDELESTADO
D.L.:M-1/1958-ISSN:0212-033X