Académique Documents
Professionnel Documents
Culture Documents
Nm. 264
I. DISPOSICIONES GENERALES
MINISTERIO DE LA PRESIDENCIA
Real Decreto 951/2015, de 23 de octubre, de modificacin del Real Decreto
3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad
en el mbito de la Administracin Electrnica.
cve: BOE-A-2015-11881
Verificable en http://www.boe.es
11881
Por todo ello, y en particular dada la rpida evolucin de las tecnologas de aplicacin
y la experiencia derivada de la implantacin del Esquema Nacional de Seguridad
aconsejan la actualizacin de esta norma, cuyo alcance y contenido se orienta a precisar,
profundizar y contribuir al mejor cumplimiento de los mandatos normativos, clarifica el
papel del Centro Criptolgico Nacional y del CCN-CERT, elimina la referencia a INTECO,
explicita y relaciona las instrucciones tcnicas de seguridad, y la Declaracin de
Aplicabilidad, actualiza el Anexo II referido a las medidas de seguridad y simplifica y
concreta el anexo III, referido a la auditora de seguridad, modifica el Glosario de trminos
recogido en el anexo IV, modifica la redaccin de la clusula administrativa particular
contenida en el anexo V y finaliza estableciendo mediante disposicin transitoria un plazo
de veinticuatro meses contados a partir de la entrada en vigor para la adecuacin de los
sistemas a lo dispuesto en la modificacin.
Y en ese sentido, se modifica el apartado 1 del artculo 11, el apartado 3 del 15, el ttulo
del 18, su apartado 1 y se aade un nuevo apartado 4, el apartado a) del 19, el apartado2
del 24, el 27 mediante la introduccin de dos nuevos apartados 4 y 5, el ttulo del 29, sus
apartados 1 y 2 y se introduce un nuevo apartado 3, los artculos 35 y 36, el apartado 1.a)
del 37, los anexos II a V, se elimina la disposicin adicional segunda, se modifica la
numeracin de las disposiciones adicionales tercera y cuarta y se aade una nueva
disposicin adicional cuarta.
Todo ello con dicha finalidad y con el fin de adecuarse a lo previsto en el Reglamento
n. 910/2014, del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la
identificacin electrnica y los servicios de confianza para las transacciones electrnicas
en el mercado interior y por el que se deroga la Directiva 1999/93/CE.
En su virtud, a propuesta del Ministro de Hacienda y Administraciones Pblicas y de la
Ministra de la Presidencia, de acuerdo con el Consejo de Estado y previa deliberacin del
Consejo de Ministros en su reunin del da 23 de octubre de 2015,
DISPONGO:
Artculo nico. Modificacin del Real Decreto 3/2010, de 8 de enero, por el que se
regula el Esquema Nacional de Seguridad en el mbito de la Administracin
electrnica.
El Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de
Seguridad en el mbito de la Administracin Electrnica queda modificado en el siguiente
sentido:
Uno. El apartado 1 del artculo 11 queda redactado como sigue:
Todos los rganos superiores de las Administraciones pblicas debern
disponer formalmente de su poltica de seguridad que articule la gestin continuada
de la seguridad, que ser aprobada por el titular del rgano superior correspondiente.
Esta poltica de seguridad, se establecer de acuerdo con los principios bsicos
indicados y se desarrollar aplicando los siguientes requisitos mnimos:
a) Organizacin e implantacin del proceso de seguridad.
b) Anlisis y gestin de los riesgos.
c) Gestin de personal.
d)Profesionalidad.
e) Autorizacin y control de los accesos.
f) Proteccin de las instalaciones.
g) Adquisicin de productos.
h) Seguridad por defecto.
i) Integridad y actualizacin del sistema.
j) Proteccin de la informacin almacenada y en trnsito.
k) Prevencin ante otros sistemas de informacin interconectados.
cve: BOE-A-2015-11881
Verificable en http://www.boe.es
Nm. 264
l) Registro de actividad.
m) Incidentes de seguridad.
n) Continuidad de la actividad.
o) Mejora continua del proceso de seguridad.
Dos. El apartado 3 del artculo 15 queda redactado como sigue:
3. Las Administraciones pblicas exigirn, de manera objetiva y no
discriminatoria, que las organizaciones que les presten servicios de seguridad
cuenten con profesionales cualificados y con unos niveles idneos de gestin y
madurez en los servicios prestados.
Tres. Se modifica el artculo 18, cuyo ttulo pasa a ser Adquisicin de productos de
seguridad y contratacin de servicios de seguridad y sus apartados 1 y 4 quedan
redactados como sigue:
1. En la adquisicin de productos de seguridad de las tecnologas de la
informacin y comunicaciones que vayan a ser empleados por las Administraciones
pblicas se utilizarn, de forma proporcionada a la categora del sistema y nivel de
seguridad determinados, aquellos que tengan certificada la funcionalidad de
seguridad relacionada con el objeto de su adquisicin, salvo en aquellos casos en
que las exigencias de proporcionalidad en cuanto a los riesgos asumidos no lo
justifiquen a juicio del responsable de Seguridad.
4. Para la contratacin de servicios de seguridad se estar a lo dispuesto en
los apartados anteriores y en el artculo 15.
Cuatro. El apartado a) del artculo 19 queda redactado como sigue:
a) El sistema proporcionar la mnima funcionalidad requerida para que la
organizacin alcance sus objetivos.
Cinco. El apartado 2 del artculo 24 queda redactado como sigue:
2. Se dispondr de procedimientos de gestin de incidentes de seguridad y
de debilidades detectadas en los elementos del sistema de informacin. Estos
procedimientos cubrirn los mecanismos de deteccin, los criterios de clasificacin,
los procedimientos de anlisis y resolucin, as como los cauces de comunicacin a
las partes interesadas y el registro de las actuaciones. Este registro se emplear
para la mejora continua de la seguridad del sistema.
Seis. Se aaden dos nuevos apartados 4 y 5 al artculo 27 redactados como sigue:
4. La relacin de medidas seleccionadas del Anexo II se formalizar en un
documento denominado Declaracin de Aplicabilidad, firmado por el responsable de
seguridad.
5. Las medidas de seguridad referenciadas en el Anexo II podrn ser
reemplazadas por otras compensatorias siempre y cuando se justifique
documentalmente que protegen igual o mejor el riesgo sobre los activos (Anexo I) y
se satisfacen los principios bsicos y los requisitos mnimos previstos en los captulos
II y III del real decreto. Como parte integral de la Declaracin de Aplicabilidad se
indicar de forma detallada la correspondencia entre las medidas compensatorias
implantadas y las medidas del Anexo II que compensan y el conjunto ser objeto de
la aprobacin formal por parte del responsable de seguridad.
Siete. Se modifica el artculo 29, cuyo ttulo pasa a ser Instrucciones tcnicas de
seguridad y guas de seguridad y queda redactado como sigue:
1. Para el mejor cumplimiento de lo establecido en el Esquema Nacional de
Seguridad, el Centro Criptolgico Nacional, en el ejercicio de sus competencias,
cve: BOE-A-2015-11881
Verificable en http://www.boe.es
Nm. 264
cve: BOE-A-2015-11881
Verificable en http://www.boe.es
Nm. 264
Doce. Se aade una nueva disposicin adicional cuarta redactada como sigue:
Disposicin adicional cuarta. Desarrollo del Esquema Nacional de Seguridad.
1. Sin perjuicio de las propuestas que pueda acordar el Comit Sectorial de
Administracin Electrnica segn lo establecido en el artculo 29, apartado 2, se
desarrollarn las siguientes instrucciones tcnicas de seguridad que sern de
obligado cumplimiento por parte de las Administraciones pblicas:
a)
b)
c)
d)
e)
f)
g)
h)
categora
categora
categora
categora
aplica
aplica
aplica
aplica
=
=
=
=
Medidas de seguridad
=
=
=
=
org
org.1
org.2
org.3
org.4
Marco organizativo
Poltica de seguridad
Normativa de seguridad
Procedimientos de seguridad
Proceso de autorizacin
Marco operacional
Planificacin
Anlisis de riesgos
Arquitectura de seguridad
Adquisicin de nuevos componentes
Dimensionamiento/Gestin de capacidades
Componentes certificados
Control de acceso
Identificacin
Requisitos de acceso
Segregacin de funciones y tareas
Proceso de gestin de derechos de acceso
Mecanismo de autenticacin
Acceso local (local logon)
Acceso remoto (remote login)
Explotacin
Inventario de activos
Configuracin de seguridad
Gestin de la configuracin
Mantenimiento
Gestin de cambios
Proteccin frente a cdigo daino
Gestin de incidentes
categora
categora
categora
D
categora
aplica
aplica
aplica
n.a.
n.a.
+
+
=
aplica
n.a.
++
++
=
=
aplica
AT
I CAT
I CAT
I CAT
I CAT
I CAT
I CAT
aplica
aplica
n.a.
aplica
aplica
aplica
aplica
=
=
aplica
=
+
+
+
=
=
=
=
++
++
=
categora
categora
categora
categora
aplica
aplica
n.a.
aplica
=
=
aplica
=
=
=
=
=
op
op.pl
op.pl.1
op.pl.2
op.pl.3
op.pl.4
op.pl.5
op.acc
op.acc.1
op.acc.2
op.acc.3
op.acc.4
op.acc.5
op.acc.6
op.acc.7
op.exp
op.exp.1
op.exp.2
op.exp.3
op.exp.4
categora
categora
categora
n.a.
aplica
n.a.
aplica
=
aplica
=
=
=
op.exp.5
op.exp.6
op.exp.7
cve: BOE-A-2015-11881
Verificable en http://www.boe.es
Afectadas
Dimensiones
Afectadas
T
categora
T
categora
aplica
n.a.
n.a.
aplica
+
aplica
n.a.
+
++
=
aplica
=
categora
categora
D
n.a.
n.a.
n.a.
aplica
aplica
n.a.
=
=
aplica
D
D
D
n.a.
n.a.
n.a.
aplica
n.a.
n.a.
=
aplica
aplica
categora
categora
n.a.
n.a.
aplica
n.a.
=
aplica
Medidas de seguridad
op.exp.8
op.exp.9
op.exp.10
op.exp.11
op.ext
op.ext.1
op.ext.2
op.ext.9
op.cont
op.cont.1
op.cont.2
op.cont.3
op.mon
op.mon.1
op.mon.2
categora
categora
categora
D
D
D
categora
D
aplica
aplica
aplica
aplica
aplica
n.a.
aplica
n.a.
=
=
=
+
=
aplica
=
n.a.
=
=
=
=
=
=
=
aplica
categora
categora
categora
categora
D
n.a.
aplica
aplica
aplica
n.a.
aplica
=
=
=
n.a.
=
=
=
=
aplica
categora
A
categora
D
aplica
n.a.
aplica
n.a.
+
aplica
=
aplica
=
+
+
=
categora
C
IA
categora
D
aplica
n.a.
aplica
n.a.
n.a.
=
aplica
+
n.a.
n.a.
+
+
++
aplica
aplica
C
IC
categora
categora
aplica
n.a.
aplica
aplica
=
aplica
=
=
=
+
=
=
mp
mp.if
mp.if.1
mp.if.2
mp.if.3
mp.if.4
mp.if.5
mp.if.6
mp.if.7
mp.if.9
mp.per
mp.per.1
mp.per.2
mp.per.3
mp.per.4
mp.per.9
mp.eq
mp.eq.1
mp.eq.2
mp.eq.3
mp.eq.9
mp.com
mp.com.1
mp.com.2
mp.com.3
mp.com.4
mp.com.9
mp.si
mp.si.1
mp.si.2
mp.si.3
mp.si.4
aplica
mp.si.5
cve: BOE-A-2015-11881
Verificable en http://www.boe.es
Nm. 264
Dimensiones
Afectadas
categora
categora
n.a.
aplica
aplica
+
=
++
categora
C
C
IA
T
C
D
aplica
aplica
n.a.
aplica
n.a.
aplica
aplica
=
+
n.a.
+
n.a.
=
=
=
=
aplica
++
aplica
=
=
categora
categora
D
D
aplica
aplica
n.a.
n.a.
=
=
aplica
n.a.
=
+
+
aplica
Medidas de seguridad
mp.sw
mp.sw.1
mp.sw.2
mp.info
mp.info.1
mp.info.2
mp.info.3
mp.info.4
mp.info.5
mp.info.6
mp.info.9
mp.s
mp.s.1
mp.s.2
mp.s.8
mp.s.9
Catorce. Se modifican los apartados 3.4, 4.1.2, 4.1.5, 4.2.1, 4.2.5, 4.3.3, 4.3.7, 4.3.8,
4.3.9, 4.3.11, 4.4.2, 4.6.1, 4.6.2, 5.2.3, 5.3.3, 5.4.2, 5.4.3, 5.5.2, 5.5.5, 5.6.1, 5.7.4, 5.7.5,
5.7.7 y 5.8.2 del Anexo II del Real Decreto, en los siguientes trminos:
3.4 Proceso de autorizacin [org.4].
dimensiones
Todas
categora
bsica
media
alta
aplica
dimensiones
categora
Todas
bsica
media
alta
aplica
cve: BOE-A-2015-11881
Verificable en http://www.boe.es
categora
Todas
bsica
media
no aplica no aplica
alta
aplica
Categora ALTA
Se utilizarn sistemas, productos o equipos cuyas funcionalidades de seguridad
y su nivel hayan sido evaluados conforme a normas europeas o internacionales y
cuyos certificados estn reconocidos por el Esquema Nacional de Evaluacin y
Certificacin de la Seguridad de las Tecnologas de la Informacin.
cve: BOE-A-2015-11881
Verificable en http://www.boe.es
dimensiones
A T
bajo
medio
alto
aplica
cve: BOE-A-2015-11881
Verificable en http://www.boe.es
ICAT
bajo
medio
alto
aplica
++
1. Las credenciales se activarn una vez estn bajo el control efectivo del usuario.
2. Las credenciales estarn bajo el control exclusivo del usuario.
3. El usuario reconocer que las ha recibido y que conoce y acepta las
obligaciones que implica su tenencia, en particular, el deber de custodia diligente,
proteccin de su confidencialidad e informacin inmediata en caso de prdida.
4. Las credenciales se cambiarn con una periodicidad marcada por la poltica
de la organizacin, atendiendo a la categora del sistema al que se accede.
5. Las credenciales se retirarn y sern deshabilitadas cuando la entidad
(persona, equipo o proceso) que autentican termina su relacin con el sistema.
Nivel MEDIO
a) Se exigir el uso de al menos dos factores de autenticacin.
b) En el caso de utilizacin de "algo que se sabe" como factor de autenticacin,
se establecern exigencias rigurosas de calidad y renovacin.
cve: BOE-A-2015-11881
Verificable en http://www.boe.es
Todas
categora
bsica
media
alta
no aplica
aplica
Categora MEDIA
Se gestionar de forma continua la configuracin de los componentes del
sistema de forma que:
a) Se mantenga en todo momento la regla de "funcionalidad mnima"
([op.exp.2]).
b) Se mantenga en todo momento la regla de "seguridad por defecto"
([op.exp.2]).
c) El sistema se adapte a las nuevas necesidades, previamente autorizadas
([op.acc.4]).
d) El sistema reaccione a vulnerabilidades reportadas ([op.exp.4]).
e) El sistema reaccione a incidentes (ver [op.exp.7]).
4.3.7 Gestin de incidentes [op.exp.7].
dimensiones
Todas
categora
bsica
media
alta
no aplica
aplica
cve: BOE-A-2015-11881
Verificable en http://www.boe.es
Categora MEDIA
T
bajo
medio
alto
aplica
++
Todas
bsica
media
alta
no aplica
aplica
cve: BOE-A-2015-11881
Verificable en http://www.boe.es
Categora MEDIA
Se registrarn todas las actuaciones relacionadas con la gestin de incidentes,
de forma que:
a) Se registrar el reporte inicial, las actuaciones de emergencia y las
modificaciones del sistema derivadas del incidente.
b) Se registrar aquella evidencia que pueda, posteriormente, sustentar una
demanda judicial, o hacer frente a ella, cuando el incidente pueda llevar a
actuaciones disciplinarias sobre el personal interno, sobre proveedores externos o
a la persecucin de delitos. En la determinacin de la composicin y detalle de estas
evidencias, se recurrir a asesoramiento legal especializado.
c) Como consecuencia del anlisis de los incidentes, se revisar la
determinacin de los eventos auditables.
4.3.11 Proteccin de claves criptogrficas [op.exp.11].
dimensiones
Todas
categora
bsica
media
alta
aplica
Todas
categora
bsica
media
alta
no aplica
aplica
cve: BOE-A-2015-11881
Verificable en http://www.boe.es
Categora MEDIA
Todas
categora
bsica
media
alta
no aplica
aplica
Categora MEDIA
Se dispondrn de herramientas de deteccin o de prevencin de intrusin.
4.6.2 Sistema de mtricas [op.mon.2].
dimensiones
categora
Todas
bsica
media
alta
aplica
++
Categora BSICA:
Se recopilarn los datos necesarios atendiendo a la categora del sistema para
conocer el grado de implantacin de las medidas de seguridad que apliquen de las
detalladas en el Anexo II y, en su caso, para proveer el informe anual requerido por
el artculo 35.
Categora MEDIA:
Adems, se recopilaran datos para valorar el sistema de gestin de incidentes,
permitiendo conocer
Nmero de incidentes de seguridad tratados.
Tiempo empleado para cerrar el 50% de los incidentes.
Tiempo empleado para cerrar el 90% de las incidentes.
Categora ALTA
Se recopilarn datos para conocer la eficiencia del sistema de seguridad TIC:
Recursos consumidos: horas y presupuesto.
5.2.3 Concienciacin [mp.per.3].
categora
Todas
bsica
media
alta
aplica
cve: BOE-A-2015-11881
Verificable en http://www.boe.es
dimensiones
Todas
bsica
media
alta
aplica
Categora BSICA
Los equipos que sean susceptibles de salir de las instalaciones de la
organizacin y no puedan beneficiarse de la proteccin fsica correspondiente, con
un riesgo manifiesto de prdida o robo, sern protegidos adecuadamente.
Sin perjuicio de las medidas generales que les afecten, se adoptarn las
siguientes:
a) Se llevar un inventario de equipos porttiles junto con una identificacin de
la persona responsable del mismo y un control regular de que est positivamente
bajo su control.
b) Se establecer un canal de comunicacin para informar, al servicio de
gestin de incidentes, de prdidas o sustracciones.
c) Cuando un equipo porttil se conecte remotamente a travs de redes que
no estn bajo el estricto control de la organizacin, el mbito de operacin del
servidor limitar la informacin y los servicios accesibles a los mnimos
imprescindibles, requiriendo autorizacin previa de los responsables de la
informacin y los servicios afectados. Este punto es de aplicacin a conexiones a
travs de Internet y otras redes que no sean de confianza.
d) Se evitar, en la medida de lo posible, que el equipo contenga claves de
acceso remoto a la organizacin. Se considerarn claves de acceso remoto aquellas
que sean capaces de habilitar un acceso a otros equipos de la organizacin, u otras
de naturaleza anloga.
Categora ALTA
a) Se dotar al dispositivo de detectores de violacin que permitan saber el
equipo ha sido manipulado y activen los procedimientos previstos de gestin del
incidente.
b) La informacin de nivel alto almacenada en el disco se proteger mediante
cifrado.
5.4.2 Proteccin de la confidencialidad [mp.com.2].
dimensiones
nivel
C
bajo
medio
alto
no aplica
aplica
cve: BOE-A-2015-11881
Verificable en http://www.boe.es
Nivel MEDIO
IA
bajo
medio
alto
aplica
++
Nivel BAJO
a) Se asegurar la autenticidad del otro extremo de un canal de comunicacin
antes de intercambiar informacin (ver [op.acc.5]).
b) Se prevendrn ataques activos, garantizando que al menos sern
detectados. y se activarn los procedimientos previstos de tratamiento del incidente
Se considerarn ataques activos:
1. La alteracin de la informacin en trnsito.
2. La inyeccin de informacin espuria.
3. El secuestro de la sesin por una tercera parte.
c) Se aceptar cualquier mecanismo de autenticacin de los previstos en
normativa de aplicacin.
Nivel MEDIO
a) Se emplearn redes privadas virtuales cuando la comunicacin discurra por
redes fuera del propio dominio de seguridad.
b) Se emplearn algoritmos acreditados por el Centro Criptolgico Nacional.
c) Se aceptar cualquier mecanismo de autenticacin de los previstos en la
normativa de aplicacin. En caso de uso de claves concertadas se aplicarn
exigencias medias en cuanto a su calidad frente a ataques de adivinacin,
diccionario o fuerza bruta.
Nivel ALTO
a) Se valorar positivamente el empleo de dispositivos hardware en el
establecimiento y utilizacin de la red privada virtual.
b) Se emplearn productos certificados conforme a lo establecido en [op.pl.5].
c) Se aceptar cualquier mecanismo de autenticacin de los previstos en
normativa de aplicacin. En caso de uso de claves concertadas se aplicarn
exigencias altas en cuanto a su calidad frente a ataques de adivinacin, diccionario
o fuerza bruta.
5.5.2 Criptografa [mp.si.2].
nivel
IC
bajo
medio
alto
no aplica
aplica
cve: BOE-A-2015-11881
Verificable en http://www.boe.es
dimensiones
Nivel MEDIO
Se aplicarn mecanismos criptogrficos que garanticen la confidencialidad y la
integridad de la informacin contenida.
Nivel ALTO
a) Se emplearn algoritmos acreditados por el Centro Criptolgico Nacional.
b) Se emplearn productos certificados conforme a lo establecido en [op.pl.5].
5.5.5 Borrado y destruccin [mp.si.5].
dimensiones
nivel
bajo
medio
alto
no aplica
Todas
categora
bajo
medio
alto
no aplica
aplica
cve: BOE-A-2015-11881
Verificable en http://www.boe.es
Categora MEDIA
c) Los siguientes elementos sern parte integral del diseo del sistema:
1. Los mecanismos de identificacin y autenticacin.
2. Los mecanismos de proteccin de la informacin tratada.
3. La generacin y tratamiento de pistas de auditora.
d) Las pruebas anteriores a la implantacin o modificacin de los sistemas de
informacin no se realizarn con datos reales, salvo que se asegure el nivel de
seguridad correspondiente.
5.7.4 Firma electrnica [mp.info.4].
dimensiones
nivel
IA
bajo
medio
alto
aplica
++
cve: BOE-A-2015-11881
Verificable en http://www.boe.es
1.Certificados.
2. Datos de verificacin y validacin.
Nivel ALTO
1. Se usar firma electrnica cualificada, incorporando certificados cualificados
y dispositivos cualificados de creacin de firma.
2. Se emplearn productos certificados conforme a lo establecido en [op.pl.5].
5.7.5 Sellos de tiempo [mp.info.5].
dimensiones
nivel
T
bajo
medio
no aplica no aplica
alto
aplica
Nivel ALTO
Los sellos de tiempo prevendrn la posibilidad del repudio posterior:
1. Los sellos de tiempo se aplicarn a aquella informacin que sea susceptible
de ser utilizada como evidencia electrnica en el futuro.
2. Los datos pertinentes para la verificacin posterior de la fecha sern
tratados con la misma seguridad que la informacin fechada a efectos de
disponibilidad, integridad y confidencialidad.
3. Se renovarn regularmente los sellos de tiempo hasta que la informacin
protegida ya no sea requerida por el proceso administrativo al que da soporte.
4. Se utilizarn productos certificados (segn [op.pl.5]) o servicios externos
admitidos (vase [op.exp.10]).
5. Se emplearn "sellos cualificados de tiempo electrnicos" acordes con la
normativa europea en la materia.
5.7.7 Copias de seguridad (backup) [mp.info.9].
dimensiones
nivel
D
bajo
medio
alto
aplica
Todas
bsica
media
alta
aplica
cve: BOE-A-2015-11881
Verificable en http://www.boe.es
cve: BOE-A-2015-11881
Verificable en http://www.boe.es
cve: BOE-A-2015-11881
Verificable en http://www.boe.es
Nm. 264
cve: BOE-A-2015-11881
Verificable en http://www.boe.es
http://www.boe.es
BOLETNOFICIALDELESTADO
D.L.:M-1/1958-ISSN:0212-033X