BOLETN OFICIAL DEL ESTADO

Nm. 264

Mircoles 4 de noviembre de 2015

Sec. I. Pg. 104246

I. DISPOSICIONES GENERALES

MINISTERIO DE LA PRESIDENCIA
Real Decreto 951/2015, de 23 de octubre, de modificacin del Real Decreto
3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad
en el mbito de la Administracin Electrnica.

La Ley 11/2007, de 22 de junio, de acceso electrnico de los ciudadanos a los Servicios

Pblicos estableci el Esquema Nacional de Seguridad que, aprobado mediante Real
Decreto 3/2010, de 8 de enero, tiene por objeto determinar la poltica de seguridad en la
utilizacin de medios electrnicos en su mbito de aplicacin y estar constituido por los
principios bsicos y requisitos mnimos que permitan una proteccin adecuada de la
informacin. Tambin estableci que el mismo deba mantenerse actualizado de manera
permanente y, en desarrollo de este precepto, el Real Decreto 3/2010, de 8 de enero,
establece que el Esquema Nacional de Seguridad se desarrollar y perfeccionar a lo
largo del tiempo en paralelo al progreso de los servicios de Administracin electrnica, la
evolucin de la tecnologa, los nuevos estndares internacionales sobre seguridad y
auditora, y la consolidacin de las infraestructuras que le sirven de apoyo, mantenindose
actualizado de manera permanente.
Posteriormente, la Ley 40/2015, de 1 de octubre, de Rgimen Jurdico del Sector
Pblico establece que las Administraciones Pblicas se relacionarn entre s y con sus
rganos, organismos pblicos y entidades vinculados o dependientes a travs de medios
electrnicos, que aseguren la interoperabilidad y seguridad de los sistemas y soluciones
adoptadas por cada una de ellas, garantizarn la proteccin de los datos de carcter
personal, y facilitarn preferentemente la prestacin conjunta de servicios a los
interesados y recoge el Esquema Nacional de Seguridad en su artculo 156. Mientras
que la Ley39/2015, de 1 de octubre, del Procedimiento Administrativo Comn de las
Administraciones Pblicas, recoge en su artculo 13 sobre derechos de las personas en
sus relaciones con las Administraciones Pblicas el relativo a la proteccin de datos de
carcter personal, y en particular a la seguridad y confidencialidad de los datos que
figuren en los ficheros, sistemas y aplicaciones de las Administraciones Pblicas.
En efecto, los ciudadanos confan en que los servicios pblicos disponibles por el
medio electrnico se presten en unas condiciones de seguridad equivalentes a las que
encuentran cuando se acercan personalmente a las oficinas de la Administracin.
Por otra parte, las ciberamenazas, que constituyen riesgos que afectan singularmente
a la Seguridad Nacional, se han convertido en un potente instrumento de agresin contra
las entidades pblicas y los ciudadanos en sus relaciones con las mismas, de manera que
la ciberseguridad figura entre los doce mbitos prioritarios de actuacin de la Estrategia de
Seguridad Nacional como instrumento actualizado para encarar el constante y profundo
cambio mundial en el que nos hayamos inmersos y como garanta de la adecuada
actuacin de Espaa en el mbito internacional. En particular, dicho mbito de actuacin
de ciberseguridad se refiere a la garanta de la seguridad de los sistemas de informacin
y las redes de comunicaciones e infraestructuras comunes a todas las Administraciones
Pblicas y a que se finalizar la implantacin del Esquema Nacional de Seguridad, previsto
en la Ley 11/2007, de 22 de junio. Profundizando en la cuestin, la Estrategia de
Ciberseguridad Nacional que utilizan las Administraciones Pblicas poseen el adecuado
nivel de ciberseguridad y resiliencia y en su lnea de accin 2, titulada Seguridad de los
Sistemas de Informacin y Telecomunicaciones que soportan las Administraciones
Pblicas, se incluye la medida relativa a Asegurar la plena implantacin del Esquema
Nacional de Seguridad y articular los procedimientos necesarios para conocer regularmente
el estado de las principales variables de seguridad de los sistemas afectados.

cve: BOE-A-2015-11881
Verificable en http://www.boe.es

11881

BOLETN OFICIAL DEL ESTADO

Mircoles 4 de noviembre de 2015

Sec. I. Pg. 104247

Por todo ello, y en particular dada la rpida evolucin de las tecnologas de aplicacin
y la experiencia derivada de la implantacin del Esquema Nacional de Seguridad
aconsejan la actualizacin de esta norma, cuyo alcance y contenido se orienta a precisar,
profundizar y contribuir al mejor cumplimiento de los mandatos normativos, clarifica el
papel del Centro Criptolgico Nacional y del CCN-CERT, elimina la referencia a INTECO,
explicita y relaciona las instrucciones tcnicas de seguridad, y la Declaracin de
Aplicabilidad, actualiza el Anexo II referido a las medidas de seguridad y simplifica y
concreta el anexo III, referido a la auditora de seguridad, modifica el Glosario de trminos
recogido en el anexo IV, modifica la redaccin de la clusula administrativa particular
contenida en el anexo V y finaliza estableciendo mediante disposicin transitoria un plazo
de veinticuatro meses contados a partir de la entrada en vigor para la adecuacin de los
sistemas a lo dispuesto en la modificacin.
Y en ese sentido, se modifica el apartado 1 del artculo 11, el apartado 3 del 15, el ttulo
del 18, su apartado 1 y se aade un nuevo apartado 4, el apartado a) del 19, el apartado2
del 24, el 27 mediante la introduccin de dos nuevos apartados 4 y 5, el ttulo del 29, sus
apartados 1 y 2 y se introduce un nuevo apartado 3, los artculos 35 y 36, el apartado 1.a)
del 37, los anexos II a V, se elimina la disposicin adicional segunda, se modifica la
numeracin de las disposiciones adicionales tercera y cuarta y se aade una nueva
disposicin adicional cuarta.
Todo ello con dicha finalidad y con el fin de adecuarse a lo previsto en el Reglamento
n. 910/2014, del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la
identificacin electrnica y los servicios de confianza para las transacciones electrnicas
en el mercado interior y por el que se deroga la Directiva 1999/93/CE.
En su virtud, a propuesta del Ministro de Hacienda y Administraciones Pblicas y de la
Ministra de la Presidencia, de acuerdo con el Consejo de Estado y previa deliberacin del
Consejo de Ministros en su reunin del da 23 de octubre de 2015,
DISPONGO:
Artculo nico. Modificacin del Real Decreto 3/2010, de 8 de enero, por el que se
regula el Esquema Nacional de Seguridad en el mbito de la Administracin
electrnica.
El Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de
Seguridad en el mbito de la Administracin Electrnica queda modificado en el siguiente
sentido:
Uno. El apartado 1 del artculo 11 queda redactado como sigue:
Todos los rganos superiores de las Administraciones pblicas debern
disponer formalmente de su poltica de seguridad que articule la gestin continuada
de la seguridad, que ser aprobada por el titular del rgano superior correspondiente.
Esta poltica de seguridad, se establecer de acuerdo con los principios bsicos
indicados y se desarrollar aplicando los siguientes requisitos mnimos:
a) Organizacin e implantacin del proceso de seguridad.
b) Anlisis y gestin de los riesgos.
c) Gestin de personal.
d)Profesionalidad.
e) Autorizacin y control de los accesos.
f) Proteccin de las instalaciones.
g) Adquisicin de productos.
h) Seguridad por defecto.
i) Integridad y actualizacin del sistema.
j) Proteccin de la informacin almacenada y en trnsito.
k) Prevencin ante otros sistemas de informacin interconectados.

cve: BOE-A-2015-11881
Verificable en http://www.boe.es

Nm. 264

BOLETN OFICIAL DEL ESTADO

Mircoles 4 de noviembre de 2015

Sec. I. Pg. 104248

l) Registro de actividad.
m) Incidentes de seguridad.
n) Continuidad de la actividad.
o) Mejora continua del proceso de seguridad.
Dos. El apartado 3 del artculo 15 queda redactado como sigue:
3. Las Administraciones pblicas exigirn, de manera objetiva y no
discriminatoria, que las organizaciones que les presten servicios de seguridad
cuenten con profesionales cualificados y con unos niveles idneos de gestin y
madurez en los servicios prestados.
Tres. Se modifica el artculo 18, cuyo ttulo pasa a ser Adquisicin de productos de
seguridad y contratacin de servicios de seguridad y sus apartados 1 y 4 quedan
redactados como sigue:
1. En la adquisicin de productos de seguridad de las tecnologas de la
informacin y comunicaciones que vayan a ser empleados por las Administraciones
pblicas se utilizarn, de forma proporcionada a la categora del sistema y nivel de
seguridad determinados, aquellos que tengan certificada la funcionalidad de
seguridad relacionada con el objeto de su adquisicin, salvo en aquellos casos en
que las exigencias de proporcionalidad en cuanto a los riesgos asumidos no lo
justifiquen a juicio del responsable de Seguridad.
4. Para la contratacin de servicios de seguridad se estar a lo dispuesto en
los apartados anteriores y en el artculo 15.
Cuatro. El apartado a) del artculo 19 queda redactado como sigue:
a) El sistema proporcionar la mnima funcionalidad requerida para que la
organizacin alcance sus objetivos.
Cinco. El apartado 2 del artculo 24 queda redactado como sigue:
2. Se dispondr de procedimientos de gestin de incidentes de seguridad y
de debilidades detectadas en los elementos del sistema de informacin. Estos
procedimientos cubrirn los mecanismos de deteccin, los criterios de clasificacin,
los procedimientos de anlisis y resolucin, as como los cauces de comunicacin a
las partes interesadas y el registro de las actuaciones. Este registro se emplear
para la mejora continua de la seguridad del sistema.
Seis. Se aaden dos nuevos apartados 4 y 5 al artculo 27 redactados como sigue:
4. La relacin de medidas seleccionadas del Anexo II se formalizar en un
documento denominado Declaracin de Aplicabilidad, firmado por el responsable de
seguridad.
5. Las medidas de seguridad referenciadas en el Anexo II podrn ser
reemplazadas por otras compensatorias siempre y cuando se justifique
documentalmente que protegen igual o mejor el riesgo sobre los activos (Anexo I) y
se satisfacen los principios bsicos y los requisitos mnimos previstos en los captulos
II y III del real decreto. Como parte integral de la Declaracin de Aplicabilidad se
indicar de forma detallada la correspondencia entre las medidas compensatorias
implantadas y las medidas del Anexo II que compensan y el conjunto ser objeto de
la aprobacin formal por parte del responsable de seguridad.
Siete. Se modifica el artculo 29, cuyo ttulo pasa a ser Instrucciones tcnicas de
seguridad y guas de seguridad y queda redactado como sigue:
1. Para el mejor cumplimiento de lo establecido en el Esquema Nacional de
Seguridad, el Centro Criptolgico Nacional, en el ejercicio de sus competencias,

cve: BOE-A-2015-11881
Verificable en http://www.boe.es

Nm. 264

BOLETN OFICIAL DEL ESTADO

Mircoles 4 de noviembre de 2015

Sec. I. Pg. 104249

elaborar y difundir las correspondientes guas de seguridad de las tecnologas de

la informacin y las comunicaciones.
2. El Ministerio de Hacienda y Administraciones Pblicas, a propuesta del
Comit Sectorial de Administracin Electrnica previsto en el artculo 40 de la
Ley11/2007, de 22 de junio, y a iniciativa del Centro Criptolgico Nacional, aprobar
las instrucciones tcnicas de seguridad de obligado cumplimiento y se publicarn
mediante resolucin de la Secretara de Estado de Administraciones Pblicas. Para
la redaccin y mantenimiento de las instrucciones tcnicas de seguridad se
constituirn los correspondientes grupos de trabajo en los rganos colegiados con
competencias en materia de administracin electrnica.
3. Las instrucciones tcnicas de seguridad tendrn en cuenta las normas
armonizadas a nivel europeo que resulten de aplicacin.
Ocho. El artculo 35 queda redactado como sigue:
El Comit Sectorial de Administracin Electrnica recoger la informacin
relacionada con el estado de las principales variables de la seguridad en los
sistemas de informacin a los que se refiere el presente Real Decreto, de forma que
permita elaborar un perfil general del estado de la seguridad en las Administraciones
pblicas.
El Centro Criptolgico Nacional articular los procedimientos necesarios para la
recogida y consolidacin de la informacin, as como los aspectos metodolgicos
para su tratamiento y explotacin, a travs de los correspondientes grupos de
trabajo que se constituyan al efecto en el Comit Sectorial de Administracin
Electrnica y en la Comisin de Estrategia TIC para la Administracin General del
Estado.
Nueve. En el artculo 36 se aade un segundo prrafo con la siguiente redaccin:
Las Administraciones Pblicas notificarn al Centro Criptolgico Nacional
aquellos incidentes que tengan un impacto significativo en la seguridad de la
informacin manejada y de los servicios prestados en relacin con la categorizacin
de sistemas recogida en el Anexo I del presente real decreto.
Diez. En el artculo 37, el apartado 1.a) queda redactado como sigue:
a) Soporte y coordinacin para el tratamiento de vulnerabilidades y la resolucin
de incidentes de seguridad que tengan la Administracin General del Estado, las
Administraciones de las comunidades autnomas, las entidades que integran la
Administracin Local y las Entidades de Derecho pblico con personalidad jurdica
propia vinculadas o dependientes de cualquiera de las administraciones indicadas.
El CCN-CERT, a travs de su servicio de apoyo tcnico y de coordinacin,
actuar con la mxima celeridad ante cualquier agresin recibida en los sistemas de
informacin de las Administraciones pblicas.
Para el cumplimiento de los fines indicados en los prrafos anteriores se podrn
recabar informes de auditora de los sistemas afectados, registros de auditora,
configuraciones y cualquier otra informacin que se considere relevante, as como
los soportes informticos que se estimen necesarios para la investigacin del
incidente de los sistemas afectados, sin perjuicio de lo dispuesto en la Ley
Orgnica15/1999, de 13 de diciembre, de Proteccin de Datos de carcter personal,
y su normativa de desarrollo, as como de la posible confidencialidad de datos de
carcter institucional u organizativo.
Once. Se elimina la disposicin adicional segunda Instituto Nacional de Tecnologas
de la Comunicacin (INTECO) y organismos anlogos, pasando la disposicin adicional
tercera a ser la disposicin adicional segunda y la disposicin adicional cuarta a ser la
disposicin adicional tercera.

cve: BOE-A-2015-11881
Verificable en http://www.boe.es

Nm. 264

BOLETN OFICIAL DEL ESTADO

Nm. 264

Mircoles 4 de noviembre de 2015

Sec. I. Pg. 104250

Doce. Se aade una nueva disposicin adicional cuarta redactada como sigue:
Disposicin adicional cuarta. Desarrollo del Esquema Nacional de Seguridad.
1. Sin perjuicio de las propuestas que pueda acordar el Comit Sectorial de
Administracin Electrnica segn lo establecido en el artculo 29, apartado 2, se
desarrollarn las siguientes instrucciones tcnicas de seguridad que sern de
obligado cumplimiento por parte de las Administraciones pblicas:
a)
b)
c)
d)
e)
f)
g)
h)

Informe del estado de la seguridad.

Notificacin de incidentes de seguridad.
Auditora de la seguridad.
Conformidad con el Esquema Nacional de Seguridad.
Adquisicin de productos de seguridad.
Criptologa de empleo en el Esquema Nacional de Seguridad.
Interconexin en el Esquema Nacional de Seguridad.
Requisitos de seguridad en entornos externalizados.

2. La aprobacin de estas instrucciones se realizar de acuerdo con el

procedimiento establecido en el citado artculo 29 apartados 2 y 3.
Trece. La tabla del apartado 2.4 del anexo II, queda redactada como sigue:
Dimensiones

categora
categora
categora
categora

aplica
aplica
aplica
aplica

=
=
=
=

Medidas de seguridad

=
=
=
=

org
org.1
org.2
org.3
org.4

Marco organizativo
Poltica de seguridad
Normativa de seguridad
Procedimientos de seguridad
Proceso de autorizacin
Marco operacional
Planificacin
Anlisis de riesgos
Arquitectura de seguridad
Adquisicin de nuevos componentes
Dimensionamiento/Gestin de capacidades
Componentes certificados
Control de acceso
Identificacin
Requisitos de acceso
Segregacin de funciones y tareas
Proceso de gestin de derechos de acceso
Mecanismo de autenticacin
Acceso local (local logon)
Acceso remoto (remote login)
Explotacin
Inventario de activos
Configuracin de seguridad
Gestin de la configuracin
Mantenimiento
Gestin de cambios
Proteccin frente a cdigo daino
Gestin de incidentes

categora
categora
categora
D
categora

aplica
aplica
aplica
n.a.
n.a.

+
+
=
aplica
n.a.

++
++
=
=
aplica

AT
I CAT
I CAT
I CAT
I CAT
I CAT
I CAT

aplica
aplica
n.a.
aplica
aplica
aplica
aplica

=
=
aplica
=
+
+
+

=
=
=
=
++
++
=

categora
categora
categora
categora

aplica
aplica
n.a.
aplica

=
=
aplica
=

=
=
=
=

op
op.pl
op.pl.1
op.pl.2
op.pl.3
op.pl.4
op.pl.5
op.acc
op.acc.1
op.acc.2
op.acc.3
op.acc.4
op.acc.5
op.acc.6
op.acc.7
op.exp
op.exp.1
op.exp.2
op.exp.3
op.exp.4

categora
categora
categora

n.a.
aplica
n.a.

aplica
=
aplica

=
=
=

op.exp.5
op.exp.6
op.exp.7

cve: BOE-A-2015-11881
Verificable en http://www.boe.es

Afectadas

BOLETN OFICIAL DEL ESTADO

Mircoles 4 de noviembre de 2015

Dimensiones
Afectadas

T
categora
T
categora

aplica
n.a.
n.a.
aplica

+
aplica
n.a.
+

++
=
aplica
=

categora
categora
D

n.a.
n.a.
n.a.

aplica
aplica
n.a.

=
=
aplica

D
D
D

n.a.
n.a.
n.a.

aplica
n.a.
n.a.

=
aplica
aplica

categora
categora

n.a.
n.a.

aplica
n.a.

=
aplica

Sec. I. Pg. 104251

Medidas de seguridad

op.exp.8
op.exp.9
op.exp.10
op.exp.11
op.ext
op.ext.1
op.ext.2
op.ext.9
op.cont
op.cont.1
op.cont.2
op.cont.3
op.mon
op.mon.1
op.mon.2

Registro de la actividad de los usuarios

Registro de la gestin de incidentes
Proteccin de los registros de actividad
Proteccin de claves criptogrficas
Servicios externos
Contratacin y acuerdos de nivel de servicio
Gestin diaria
Medios alternativos
Continuidad del servicio
Anlisis de impacto
Plan de continuidad
Pruebas peridicas
Monitorizacin del sistema
Deteccin de intrusin
Sistema de mtricas
Medidas de proteccin
Proteccin de las instalaciones e infraestructuras
reas separadas y con control de acceso
Identificacin de las personas
Acondicionamiento de los locales
Energa elctrica
Proteccin frente a incendios
Proteccin frente a inundaciones
Registro de entrada y salida de equipamiento
Instalaciones alternativas
Gestin del personal
Caracterizacin del puesto de trabajo
Deberes y obligaciones
Concienciacin
Formacin
Personal alternativo
Proteccin de los equipos
Puesto de trabajo despejado
Bloqueo de puesto de trabajo
Proteccin de equipos porttiles
Medios alternativos
Proteccin de las comunicaciones
Permetro seguro
Proteccin de la confidencialidad
Proteccin de la autenticidad y de la integridad
Segregacin de redes
Medios alternativos
Proteccin de los soportes de informacin
Etiquetado
Criptografa
Custodia
Transporte
Borrado y destruccin

categora
categora
categora
D
D
D
categora
D

aplica
aplica
aplica
aplica
aplica
n.a.
aplica
n.a.

=
=
=
+
=
aplica
=
n.a.

=
=
=
=
=
=
=
aplica

categora
categora
categora
categora
D

n.a.
aplica
aplica
aplica
n.a.

aplica
=
=
=
n.a.

=
=
=
=
aplica

categora
A
categora
D

aplica
n.a.
aplica
n.a.

+
aplica
=
aplica

=
+
+
=

categora
C
IA
categora
D

aplica
n.a.
aplica
n.a.
n.a.

=
aplica
+
n.a.
n.a.

+
+
++
aplica
aplica

C
IC
categora
categora

aplica
n.a.
aplica
aplica

=
aplica
=
=

=
+
=
=

mp
mp.if
mp.if.1
mp.if.2
mp.if.3
mp.if.4
mp.if.5
mp.if.6
mp.if.7
mp.if.9
mp.per
mp.per.1
mp.per.2
mp.per.3
mp.per.4
mp.per.9
mp.eq
mp.eq.1
mp.eq.2
mp.eq.3
mp.eq.9
mp.com
mp.com.1
mp.com.2
mp.com.3
mp.com.4
mp.com.9
mp.si
mp.si.1
mp.si.2
mp.si.3
mp.si.4

aplica

mp.si.5

cve: BOE-A-2015-11881
Verificable en http://www.boe.es

Nm. 264

BOLETN OFICIAL DEL ESTADO

Nm. 264

Mircoles 4 de noviembre de 2015

Dimensiones
Afectadas

categora
categora

n.a.
aplica

aplica
+

=
++

categora
C
C
IA
T
C
D

aplica
aplica
n.a.
aplica
n.a.
aplica
aplica

=
+
n.a.
+
n.a.
=
=

=
=
aplica
++
aplica
=
=

categora
categora
D
D

aplica
aplica
n.a.
n.a.

=
=
aplica
n.a.

=
+
+
aplica

Sec. I. Pg. 104252

Medidas de seguridad

mp.sw
mp.sw.1
mp.sw.2
mp.info
mp.info.1
mp.info.2
mp.info.3
mp.info.4
mp.info.5
mp.info.6
mp.info.9
mp.s
mp.s.1
mp.s.2
mp.s.8
mp.s.9

Proteccin de las aplicaciones informticas

Desarrollo
Aceptacin y puesta en servicio
Proteccin de la informacin
Datos de carcter personal
Calificacin de la informacin
Cifrado
Firma electrnica
Sellos de tiempo
Limpieza de documentos
Copias de seguridad (backup)
Proteccin de los servicios
Proteccin del correo electrnico
Proteccin de servicios y aplicaciones web
Proteccin frente a la denegacin de servicio
Medios alternativos

Catorce. Se modifican los apartados 3.4, 4.1.2, 4.1.5, 4.2.1, 4.2.5, 4.3.3, 4.3.7, 4.3.8,
4.3.9, 4.3.11, 4.4.2, 4.6.1, 4.6.2, 5.2.3, 5.3.3, 5.4.2, 5.4.3, 5.5.2, 5.5.5, 5.6.1, 5.7.4, 5.7.5,
5.7.7 y 5.8.2 del Anexo II del Real Decreto, en los siguientes trminos:
3.4 Proceso de autorizacin [org.4].
dimensiones

Todas

categora

bsica

media

alta

aplica

Se establecer un proceso formal de autorizaciones que cubra todos los

elementos del sistema de informacin:
a) Utilizacin de instalaciones, habituales y alternativas.
b) Entrada de equipos en produccin, en particular, equipos que involucren
criptografa.
c) Entrada de aplicaciones en produccin.
d) Establecimiento de enlaces de comunicaciones con otros sistemas.
e) Utilizacin de medios de comunicacin, habituales y alternativos.
f) Utilizacin de soportes de informacin.
g) Utilizacin de equipos mviles. Se entender por equipos mviles
ordenadores porttiles, PDA, u otros de naturaleza anloga.
h) Utilizacin de servicios de terceros, bajo contrato o Convenio.

dimensiones
categora

Todas
bsica

media

alta

aplica

cve: BOE-A-2015-11881
Verificable en http://www.boe.es

4.1.2 Arquitectura de seguridad [op.pl.2].

BOLETN OFICIAL DEL ESTADO

Nm. 264

Mircoles 4 de noviembre de 2015

Sec. I. Pg. 104253

La seguridad del sistema ser objeto de un planteamiento integral detallando, al

menos, los siguientes aspectos:
Categora BSICA
a) Documentacin de las instalaciones:
1.reas.
2. Puntos de acceso.
b) Documentacin del sistema:
1.Equipos.
2. Redes internas y conexiones al exterior.
3. Puntos de acceso al sistema (puestos de trabajo y consolas de
administracin).
c) Esquema de lneas de defensa:
1. Puntos de interconexin a otros sistemas o a otras redes, en especial si se
trata de Internet o redes pblicas en general.
2. Cortafuegos, DMZ, etc.
3. Utilizacin de tecnologas diferentes para prevenir vulnerabilidades que
pudieran perforar simultneamente varias lneas de defensa.
d) Sistema de identificacin y autenticacin de usuarios:
1. Uso de claves concertadas, contraseas, tarjetas de identificacin,
biometra, u otras de naturaleza anloga.
2. Uso de ficheros o directorios para autenticar al usuario y determinar sus
derechos de acceso.
Categora MEDIA
e) Sistema de gestin, relativo a la planificacin, organizacin y control de los
recursos relativos a la seguridad de la informacin.
Categora ALTA
f) Sistema de gestin de seguridad de la informacin con actualizacin y
aprobacin peridica.
g) Controles tcnicos internos:
1. Validacin de datos de entrada, salida y datos intermedios.
4.1.5 Componentes certificados [op.pl.5].

categora

Todas
bsica

media

no aplica no aplica

alta
aplica

Categora ALTA
Se utilizarn sistemas, productos o equipos cuyas funcionalidades de seguridad
y su nivel hayan sido evaluados conforme a normas europeas o internacionales y
cuyos certificados estn reconocidos por el Esquema Nacional de Evaluacin y
Certificacin de la Seguridad de las Tecnologas de la Informacin.

cve: BOE-A-2015-11881
Verificable en http://www.boe.es

dimensiones

BOLETN OFICIAL DEL ESTADO

Nm. 264

Mircoles 4 de noviembre de 2015

Sec. I. Pg. 104254

Tendrn la consideracin de normas europeas o internacionales, ISO/IEC 15408

u otras de naturaleza y calidad anlogas.
Una instruccin tcnica de seguridad detallar los criterios exigibles.
4.2.1 Identificacin [op.acc.1].
dimensiones
nivel

A T
bajo

medio

alto

aplica

La identificacin de los usuarios del sistema se realizar de acuerdo con lo que

se indica a continuacin:
1. Se podrn utilizar como identificador nico los sistemas de identificacin
previstos en la normativa de aplicacin.
2. Cuando el usuario tenga diferentes roles frente al sistema (por ejemplo,
como ciudadano, como trabajador interno del organismo y como administrador de
los sistemas) recibir identificadores singulares para cada uno de los casos de
forma que siempre queden delimitados privilegios y registros de actividad.
3. Cada entidad (usuario o proceso) que accede al sistema, contar con un
identificador singular de tal forma que:
a) Se puede saber quin recibe y qu derechos de acceso recibe.
b) Se puede saber quin ha hecho algo y qu ha hecho.
4. Las cuentas de usuario se gestionarn de la siguiente forma:
a) Cada cuenta estar asociada a un identificador nico.
b) Las cuentas deben ser inhabilitadas en los siguientes casos: cuando el
usuario deja la organizacin; cuando el usuario cesa en la funcin para la cual se
requera la cuenta de usuario; o, cuando la persona que la autoriz, da orden en
sentido contrario.
c) Las cuentas se retendrn durante el periodo necesario para atender a las
necesidades de trazabilidad de los registros de actividad asociados a las mismas. A
este periodo se le denominar periodo de retencin.

Si se requiere un nivel BAJO en la dimensin de autenticidad (anexo I): Nivel

de seguridad bajo, sustancial o alto (artculo 8 del Reglamento n. 910/2014)
Si se requiere un nivel MEDIO en la dimensin de autenticidad (anexo I): Nivel
de seguridad sustancial o alto (artculo 8 del Reglamento n. 910/2014)
Si se requiere un nivel ALTO en la dimensin de autenticidad (anexo I): Nivel
de seguridad alto (artculo 8 del Reglamento n. 910/2014).

cve: BOE-A-2015-11881
Verificable en http://www.boe.es

5. En los supuestos contemplados en el Captulo IV relativo a "Comunicaciones

Electrnicas", las partes intervinientes se identificarn de acuerdo a los mecanismos
previstos en la legislacin europea y nacional en la materia, con la siguiente
correspondencia entre los niveles de la dimensin de autenticidad de los sistemas
de informacin a los que se tiene acceso y los niveles de seguridad (bajo, sustancial,
alto) de los sistemas de identificacin electrnica previstos en el Reglamento
n.910/2014, del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo
a la identificacin electrnica y los servicios de confianza para las transacciones
electrnicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE:

BOLETN OFICIAL DEL ESTADO

Nm. 264

Mircoles 4 de noviembre de 2015

Sec. I. Pg. 104255

4.2.5 Mecanismo de autenticacin [op.acc.5].

dimensiones
nivel

ICAT
bajo

medio

alto

aplica

++

Los mecanismos de autenticacin frente al sistema se adecuarn al nivel del

sistema atendiendo a las consideraciones que siguen, pudiendo usarse los
siguientes factores de autenticacin:
"algo que se sabe": contraseas o claves concertadas.
"algo que se tiene": componentes lgicos (tales como certificados software) o
dispositivos fsicos (en expresin inglesa, tokens).
"algo que se es": elementos biomtricos.
Los factores anteriores podrn utilizarse de manera aislada o combinarse para
generar mecanismos de autenticacin fuerte.
Las guas CCN-STIC desarrollarn los mecanismos concretos adecuados para
cada nivel.
Las instancias del factor o los factores de autenticacin que se utilicen en el
sistema, se denominarn credenciales.
Antes de proporcionar las credenciales de autenticacin a los usuarios, estos
debern haberse identificado y registrado de manera fidedigna ante el sistema o
ante un proveedor de identidad electrnica reconocido por la Administracin. Se
contemplan varias posibilidades de registro de los usuarios:
Mediante la presentacin fsica del usuario y verificacin de su identidad
acorde a la legalidad vigente, ante un funcionario habilitado para ello.
De forma telemtica, mediante DNI electrnico o un certificado electrnico
cualificado.
De forma telemtica, utilizando otros sistemas admitidos legalmente para la
identificacin de los ciudadanos de los contemplados en la normativa de aplicacin.
Nivel BAJO

1. Las credenciales se activarn una vez estn bajo el control efectivo del usuario.
2. Las credenciales estarn bajo el control exclusivo del usuario.
3. El usuario reconocer que las ha recibido y que conoce y acepta las
obligaciones que implica su tenencia, en particular, el deber de custodia diligente,
proteccin de su confidencialidad e informacin inmediata en caso de prdida.
4. Las credenciales se cambiarn con una periodicidad marcada por la poltica
de la organizacin, atendiendo a la categora del sistema al que se accede.
5. Las credenciales se retirarn y sern deshabilitadas cuando la entidad
(persona, equipo o proceso) que autentican termina su relacin con el sistema.
Nivel MEDIO
a) Se exigir el uso de al menos dos factores de autenticacin.
b) En el caso de utilizacin de "algo que se sabe" como factor de autenticacin,
se establecern exigencias rigurosas de calidad y renovacin.

cve: BOE-A-2015-11881
Verificable en http://www.boe.es

a) Como principio general, se admitir el uso de cualquier mecanismo de

autenticacin sustentado en un solo factor.
b) En el caso de utilizarse como factor "algo que se sabe", se aplicarn reglas
bsicas de calidad de la misma.
c) Se atender a la seguridad de las credenciales de forma que:

BOLETN OFICIAL DEL ESTADO

Nm. 264

Mircoles 4 de noviembre de 2015

Sec. I. Pg. 104256

c) Las credenciales utilizadas debern haber sido obtenidas tras un registro

previo:
1.Presencial.
2. Telemtico usando certificado electrnico cualificado.
3. Telemtico mediante una autenticacin con una credencial electrnica
obtenida tras un registro previo presencial o telemtico usando certificado electrnico
cualificado en dispositivo cualificado de creacin de firma.
Nivel ALTO
a) Las credenciales se suspendern tras un periodo definido de no utilizacin.
b) En el caso del uso de utilizacin de "algo que se tiene", se requerir el uso
de elementos criptogrficos hardware usando algoritmos y parmetros acreditados
por el Centro Criptolgico Nacional.
c) Las credenciales utilizadas debern haber sido obtenidas tras un registro
previo presencial o telemtico usando certificado electrnico cualificado en
dispositivo cualificado de creacin de firma.
4.3.3 Gestin de la configuracin [op.exp.3].
dimensiones

Todas

categora

bsica

media

alta

no aplica

aplica

Categora MEDIA
Se gestionar de forma continua la configuracin de los componentes del
sistema de forma que:
a) Se mantenga en todo momento la regla de "funcionalidad mnima"
([op.exp.2]).
b) Se mantenga en todo momento la regla de "seguridad por defecto"
([op.exp.2]).
c) El sistema se adapte a las nuevas necesidades, previamente autorizadas
([op.acc.4]).
d) El sistema reaccione a vulnerabilidades reportadas ([op.exp.4]).
e) El sistema reaccione a incidentes (ver [op.exp.7]).
4.3.7 Gestin de incidentes [op.exp.7].
dimensiones

Todas

categora

bsica

media

alta

no aplica

aplica

Se dispondr de un proceso integral para hacer frente a los incidentes que

puedan tener un impacto en la seguridad del sistema, incluyendo:
a) Procedimiento de reporte de eventos de seguridad y debilidades, detallando
los criterios de clasificacin y el escalado de la notificacin.
b) Procedimiento de toma de medidas urgentes, incluyendo la detencin de
servicios, el aislamiento del sistema afectado, la recogida de evidencias y proteccin
de los registros, segn convenga al caso.

cve: BOE-A-2015-11881
Verificable en http://www.boe.es

Categora MEDIA

BOLETN OFICIAL DEL ESTADO

Nm. 264

Mircoles 4 de noviembre de 2015

Sec. I. Pg. 104257

c) Procedimiento de asignacin de recursos para investigar las causas,

analizar las consecuencias y resolver el incidente.
d) Procedimientos para informar a las partes interesadas, internas y externas.
e) Procedimientos para:
1. Prevenir que se repita el incidente.
2. Incluir en los procedimientos de usuario la identificacin y forma de tratar el
incidente.
3. Actualizar, extender, mejorar u optimizar los procedimientos de resolucin
de incidentes.
La gestin de incidentes que afecten a datos de carcter personal tendr en
cuenta lo dispuesto en la Ley Orgnica 15/1999, de 13 de diciembre, y normas de
desarrollo, sin perjuicio de cumplir, adems, las medidas establecidas por este real
decreto.
4.3.8 Registro de la actividad de los usuarios [op.exp.8].
dimensiones
nivel

T
bajo

medio

alto

aplica

++

Se registrarn las actividades de los usuarios en el sistema, de forma que:

a) El registro indicar quin realiza la actividad, cundo la realiza y sobre qu
informacin.
b) Se incluir la actividad de los usuarios y, especialmente, la de los operadores
y administradores en cuanto puedan acceder a la configuracin y actuar en el
mantenimiento del sistema.
c) Debern registrarse las actividades realizadas con xito y los intentos
fracasados.
d) La determinacin de qu actividades deben registrarse y con qu niveles de
detalle se adoptar a la vista del anlisis de riesgos realizado sobre el sistema
([op.pl.1]).
Nivel BAJO
Se activarn los registros de actividad en los servidores.
Nivel MEDIO
Se revisarn informalmente los registros de actividad buscando patrones
anormales.
Nivel ALTO

4.3.9 Registro de la gestin de incidentes [op.exp.9].

dimensiones
categora

Todas
bsica

media

alta

no aplica

aplica

cve: BOE-A-2015-11881
Verificable en http://www.boe.es

Se dispondr de un sistema automtico de recoleccin de registros y correlacin

de eventos; es decir, una consola de seguridad centralizada.

BOLETN OFICIAL DEL ESTADO

Nm. 264

Mircoles 4 de noviembre de 2015

Sec. I. Pg. 104258

Categora MEDIA
Se registrarn todas las actuaciones relacionadas con la gestin de incidentes,
de forma que:
a) Se registrar el reporte inicial, las actuaciones de emergencia y las
modificaciones del sistema derivadas del incidente.
b) Se registrar aquella evidencia que pueda, posteriormente, sustentar una
demanda judicial, o hacer frente a ella, cuando el incidente pueda llevar a
actuaciones disciplinarias sobre el personal interno, sobre proveedores externos o
a la persecucin de delitos. En la determinacin de la composicin y detalle de estas
evidencias, se recurrir a asesoramiento legal especializado.
c) Como consecuencia del anlisis de los incidentes, se revisar la
determinacin de los eventos auditables.
4.3.11 Proteccin de claves criptogrficas [op.exp.11].
dimensiones

Todas

categora

bsica

media

alta

aplica

Las claves criptogrficas se protegern durante todo su ciclo de vida:

(1) generacin, (2) transporte al punto de explotacin, (3) custodia durante la
explotacin, (4) archivo posterior a su retirada de explotacin activa y (5) destruccin
final.
Categora BSICA
a) Los medios de generacin estarn aislados de los medios de explotacin.
b) Las claves retiradas de operacin que deban ser archivadas, lo sern en
medios aislados de los de explotacin.
Categora MEDIA
a) Se usarn programas evaluados o dispositivos criptogrficos certificados
conforme a lo establecido en [op.pl.5].
b) Se emplearn algoritmos acreditados por el Centro Criptolgico Nacional.
4.4.2 Gestin diaria [op.ext.2].
dimensiones

Todas

categora

bsica

media

alta

no aplica

aplica

Para la gestin diaria del sistema, se establecern los siguientes puntos:

a) Un sistema rutinario para medir el cumplimiento de las obligaciones de
servicio y el procedimiento para neutralizar cualquier desviacin fuera del margen
de tolerancia acordado ([op.ext.1]).
b) El mecanismo y los procedimientos de coordinacin para llevar a cabo las
tareas de mantenimiento de los sistemas afectados por el acuerdo.
c) El mecanismo y los procedimientos de coordinacin en caso de incidentes
y desastres (ver [op.exp.7]).

cve: BOE-A-2015-11881
Verificable en http://www.boe.es

Categora MEDIA

BOLETN OFICIAL DEL ESTADO

Nm. 264

Mircoles 4 de noviembre de 2015

Sec. I. Pg. 104259

4.6.1 Deteccin de intrusin [op.mon.1].

dimensiones

Todas

categora

bsica

media

alta

no aplica

aplica

Categora MEDIA
Se dispondrn de herramientas de deteccin o de prevencin de intrusin.
4.6.2 Sistema de mtricas [op.mon.2].
dimensiones
categora

Todas
bsica

media

alta

aplica

++

Categora BSICA:
Se recopilarn los datos necesarios atendiendo a la categora del sistema para
conocer el grado de implantacin de las medidas de seguridad que apliquen de las
detalladas en el Anexo II y, en su caso, para proveer el informe anual requerido por
el artculo 35.
Categora MEDIA:
Adems, se recopilaran datos para valorar el sistema de gestin de incidentes,
permitiendo conocer
Nmero de incidentes de seguridad tratados.
Tiempo empleado para cerrar el 50% de los incidentes.
Tiempo empleado para cerrar el 90% de las incidentes.
Categora ALTA
Se recopilarn datos para conocer la eficiencia del sistema de seguridad TIC:
Recursos consumidos: horas y presupuesto.
5.2.3 Concienciacin [mp.per.3].

categora

Todas
bsica

media

alta

aplica

Se realizarn las acciones necesarias para concienciar regularmente al personal

acerca de su papel y responsabilidad para que la seguridad del sistema alcance los
niveles exigidos.
En particular, se recordar regularmente:
a) La normativa de seguridad relativa al buen uso de los sistemas.
b) La identificacin de incidentes, actividades o comportamientos sospechosos
que deban ser reportados para su tratamiento por personal especializado.
c) El procedimiento de reporte de incidentes de seguridad, sean reales o falsas
alarmas.

cve: BOE-A-2015-11881
Verificable en http://www.boe.es

dimensiones

BOLETN OFICIAL DEL ESTADO

Nm. 264

Mircoles 4 de noviembre de 2015

Sec. I. Pg. 104260

5.3.3 Proteccin de porttiles [mp.eq.3].

dimensiones
categora

Todas
bsica

media

alta

aplica

Categora BSICA
Los equipos que sean susceptibles de salir de las instalaciones de la
organizacin y no puedan beneficiarse de la proteccin fsica correspondiente, con
un riesgo manifiesto de prdida o robo, sern protegidos adecuadamente.
Sin perjuicio de las medidas generales que les afecten, se adoptarn las
siguientes:
a) Se llevar un inventario de equipos porttiles junto con una identificacin de
la persona responsable del mismo y un control regular de que est positivamente
bajo su control.
b) Se establecer un canal de comunicacin para informar, al servicio de
gestin de incidentes, de prdidas o sustracciones.
c) Cuando un equipo porttil se conecte remotamente a travs de redes que
no estn bajo el estricto control de la organizacin, el mbito de operacin del
servidor limitar la informacin y los servicios accesibles a los mnimos
imprescindibles, requiriendo autorizacin previa de los responsables de la
informacin y los servicios afectados. Este punto es de aplicacin a conexiones a
travs de Internet y otras redes que no sean de confianza.
d) Se evitar, en la medida de lo posible, que el equipo contenga claves de
acceso remoto a la organizacin. Se considerarn claves de acceso remoto aquellas
que sean capaces de habilitar un acceso a otros equipos de la organizacin, u otras
de naturaleza anloga.
Categora ALTA
a) Se dotar al dispositivo de detectores de violacin que permitan saber el
equipo ha sido manipulado y activen los procedimientos previstos de gestin del
incidente.
b) La informacin de nivel alto almacenada en el disco se proteger mediante
cifrado.
5.4.2 Proteccin de la confidencialidad [mp.com.2].
dimensiones
nivel

C
bajo

medio

alto

no aplica

aplica

a) Se emplearn redes privadas virtuales cuando la comunicacin discurra por

redes fuera del propio dominio de seguridad.
b) Se emplearn algoritmos acreditados por el Centro Criptolgico Nacional.
Nivel ALTO
a) Se emplearn, preferentemente, dispositivos hardware en el establecimiento
y utilizacin de la red privada virtual.
b) Se emplearn productos certificados conforme a lo establecido en [op.pl.5].

cve: BOE-A-2015-11881
Verificable en http://www.boe.es

Nivel MEDIO

BOLETN OFICIAL DEL ESTADO

Nm. 264

Mircoles 4 de noviembre de 2015

Sec. I. Pg. 104261

5.4.3 Proteccin de la autenticidad y de la integridad [mp.com.3].

dimensiones
nivel

IA
bajo

medio

alto

aplica

++

Nivel BAJO
a) Se asegurar la autenticidad del otro extremo de un canal de comunicacin
antes de intercambiar informacin (ver [op.acc.5]).
b) Se prevendrn ataques activos, garantizando que al menos sern
detectados. y se activarn los procedimientos previstos de tratamiento del incidente
Se considerarn ataques activos:
1. La alteracin de la informacin en trnsito.
2. La inyeccin de informacin espuria.
3. El secuestro de la sesin por una tercera parte.
c) Se aceptar cualquier mecanismo de autenticacin de los previstos en
normativa de aplicacin.
Nivel MEDIO
a) Se emplearn redes privadas virtuales cuando la comunicacin discurra por
redes fuera del propio dominio de seguridad.
b) Se emplearn algoritmos acreditados por el Centro Criptolgico Nacional.
c) Se aceptar cualquier mecanismo de autenticacin de los previstos en la
normativa de aplicacin. En caso de uso de claves concertadas se aplicarn
exigencias medias en cuanto a su calidad frente a ataques de adivinacin,
diccionario o fuerza bruta.
Nivel ALTO
a) Se valorar positivamente el empleo de dispositivos hardware en el
establecimiento y utilizacin de la red privada virtual.
b) Se emplearn productos certificados conforme a lo establecido en [op.pl.5].
c) Se aceptar cualquier mecanismo de autenticacin de los previstos en
normativa de aplicacin. En caso de uso de claves concertadas se aplicarn
exigencias altas en cuanto a su calidad frente a ataques de adivinacin, diccionario
o fuerza bruta.
5.5.2 Criptografa [mp.si.2].

nivel

IC
bajo

medio

alto

no aplica

aplica

Esta medida se aplica, en particular, a todos los dispositivos removibles. Se

entendern por dispositivos removibles, los CD, DVD, discos USB, u otros de
naturaleza anloga.

cve: BOE-A-2015-11881
Verificable en http://www.boe.es

dimensiones

BOLETN OFICIAL DEL ESTADO

Nm. 264

Mircoles 4 de noviembre de 2015

Sec. I. Pg. 104262

Nivel MEDIO
Se aplicarn mecanismos criptogrficos que garanticen la confidencialidad y la
integridad de la informacin contenida.
Nivel ALTO
a) Se emplearn algoritmos acreditados por el Centro Criptolgico Nacional.
b) Se emplearn productos certificados conforme a lo establecido en [op.pl.5].
5.5.5 Borrado y destruccin [mp.si.5].
dimensiones

nivel

bajo

medio

alto

no aplica

La medida de borrado y destruccin de soportes de informacin se aplicar a

todo tipo de equipos susceptibles de almacenar informacin, incluyendo medios
electrnicos y no electrnicos.
Nivel BAJO
a) Los soportes que vayan a ser reutilizados para otra informacin o liberados
a otra organizacin sern objeto de un borrado seguro de su contenido.
Nivel MEDIO
b) Se destruirn de forma segura los soportes, en los siguientes casos:
1. Cuando la naturaleza del soporte no permita un borrado seguro.
2. Cuando as lo requiera el procedimiento asociado al tipo de informacin
contenida.
c) Se emplearn productos certificados conforme a lo establecido en
([op.pl.5]).
5.6.1 Desarrollo de aplicaciones [mp.sw.1].
dimensiones

Todas

categora

bajo

medio

alto

no aplica

aplica

a) El desarrollo de aplicaciones se realizar sobre un sistema diferente y

separado del de produccin, no debiendo existir herramientas o datos de desarrollo
en el entorno de produccin.
b) Se aplicar una metodologa de desarrollo reconocida que:
1.
de vida.
2.
3.
4.

Tome en consideracin los aspectos de seguridad a lo largo de todo el ciclo

Trate especficamente los datos usados en pruebas.
Permita la inspeccin del cdigo fuente.
Incluya normas de programacin segura.

cve: BOE-A-2015-11881
Verificable en http://www.boe.es

Categora MEDIA

BOLETN OFICIAL DEL ESTADO

Nm. 264

Mircoles 4 de noviembre de 2015

Sec. I. Pg. 104263

c) Los siguientes elementos sern parte integral del diseo del sistema:
1. Los mecanismos de identificacin y autenticacin.
2. Los mecanismos de proteccin de la informacin tratada.
3. La generacin y tratamiento de pistas de auditora.
d) Las pruebas anteriores a la implantacin o modificacin de los sistemas de
informacin no se realizarn con datos reales, salvo que se asegure el nivel de
seguridad correspondiente.
5.7.4 Firma electrnica [mp.info.4].
dimensiones
nivel

IA
bajo

medio

alto

aplica

++

Se emplear la firma electrnica como un instrumento capaz de permitir la

comprobacin de la autenticidad de la procedencia y la integridad de la informacin
ofreciendo las bases para evitar el repudio.
La integridad y la autenticidad de los documentos se garantizarn por medio de
firmas electrnicas con los condicionantes que se describen a continuacin,
proporcionados a los niveles de seguridad requeridos por el sistema.
En el caso de que se utilicen otros mecanismos de firma electrnica sujetos a
derecho, el sistema debe incorporar medidas compensatorias suficientes que
ofrezcan garantas equivalentes o superiores en lo relativo a prevencin del repudio,
usando el procedimiento previsto en el punto 5 del artculo 27.
Nivel BAJO
Se emplear cualquier tipo de firma electrnica de los previstos en la legislacin
vigente.
Nivel MEDIO
a) Cuando se empleen sistemas de firma electrnica avanzada basados en
certificados, estos sern cualificados.
b) Se emplearn algoritmos y parmetros acreditados por el Centro
Criptolgico Nacional.
c) Se garantizar la verificacin y validacin de la firma electrnica durante el
tiempo requerido por la actividad administrativa que aqulla soporte, sin perjuicio de
que se pueda ampliar este perodo de acuerdo con lo que establezca la Poltica de
Firma Electrnica y de Certificados que sea de aplicacin. Para tal fin:
d) Se adjuntar a la firma, o se referenciar, toda la informacin pertinente
para su verificacin y validacin:

e) El organismo que recabe documentos firmados por el administrado verificar

y validar la firma recibida en el momento de la recepcin, anexando o referenciando
sin ambigedad la informacin descrita en los epgrafes 1 y 2 del apartado d).
f) La firma electrnica de documentos por parte de la Administracin anexar
o referenciar sin ambigedad la informacin descrita en los epgrafes 1 y 2.

cve: BOE-A-2015-11881
Verificable en http://www.boe.es

1.Certificados.
2. Datos de verificacin y validacin.

BOLETN OFICIAL DEL ESTADO

Nm. 264

Mircoles 4 de noviembre de 2015

Sec. I. Pg. 104264

Nivel ALTO
1. Se usar firma electrnica cualificada, incorporando certificados cualificados
y dispositivos cualificados de creacin de firma.
2. Se emplearn productos certificados conforme a lo establecido en [op.pl.5].
5.7.5 Sellos de tiempo [mp.info.5].
dimensiones
nivel

T
bajo

medio

no aplica no aplica

alto
aplica

Nivel ALTO
Los sellos de tiempo prevendrn la posibilidad del repudio posterior:
1. Los sellos de tiempo se aplicarn a aquella informacin que sea susceptible
de ser utilizada como evidencia electrnica en el futuro.
2. Los datos pertinentes para la verificacin posterior de la fecha sern
tratados con la misma seguridad que la informacin fechada a efectos de
disponibilidad, integridad y confidencialidad.
3. Se renovarn regularmente los sellos de tiempo hasta que la informacin
protegida ya no sea requerida por el proceso administrativo al que da soporte.
4. Se utilizarn productos certificados (segn [op.pl.5]) o servicios externos
admitidos (vase [op.exp.10]).
5. Se emplearn "sellos cualificados de tiempo electrnicos" acordes con la
normativa europea en la materia.
5.7.7 Copias de seguridad (backup) [mp.info.9].
dimensiones
nivel

D
bajo

medio

alto

aplica

g) Informacin de trabajo de la organizacin.

h) Aplicaciones en explotacin, incluyendo los sistemas operativos.
i) Datos de configuracin, servicios, aplicaciones, equipos, u otros de
naturaleza anloga.
j) Claves utilizadas para preservar la confidencialidad de la informacin.
5.8.2 Proteccin de servicios y aplicaciones web [mp.s.2].
dimensiones
nivel

Todas
bsica

media

alta

aplica

cve: BOE-A-2015-11881
Verificable en http://www.boe.es

Se realizarn copias de seguridad que permitan recuperar datos perdidos,

accidental o intencionadamente con una antigedad determinada.
Estas copias poseern el mismo nivel de seguridad que los datos originales en
lo que se refiere a integridad, confidencialidad, autenticidad y trazabilidad. En
particular, se considerar la conveniencia o necesidad, segn proceda, de que las
copias de seguridad estn cifradas para garantizar la confidencialidad.
Las copias de seguridad debern abarcar:

BOLETN OFICIAL DEL ESTADO

Nm. 264

Mircoles 4 de noviembre de 2015

Sec. I. Pg. 104265

Los subsistemas dedicados a la publicacin de informacin debern ser

protegidos frente a las amenazas que les son propias.
a) Cuando la informacin tenga algn tipo de control de acceso, se garantizar
la imposibilidad de acceder a la informacin obviando la autenticacin, en particular
tomando medidas en los siguientes aspectos:
1. Se evitar que el servidor ofrezca acceso a los documentos por vas
alternativas al protocolo determinado.
2. Se prevendrn ataques de manipulacin de URL.
3. Se prevendrn ataques de manipulacin de fragmentos de informacin que
se almacena en el disco duro del visitante de una pgina web a travs de su
navegador, a peticin del servidor de la pgina, conocido en terminologa inglesa
como "cookies".
4. Se prevendrn ataques de inyeccin de cdigo.
b) Se prevendrn intentos de escalado de privilegios.
c) Se prevendrn ataques de "cross site scripting".
d) Se prevendrn ataques de manipulacin de programas o dispositivos que
realizan una accin en representacin de otros, conocidos en terminologa inglesa
como "proxies" y, sistemas especiales de almacenamiento de alta velocidad,
conocidos en terminologa inglesa como "cachs".
Nivel BAJO
Se emplearn "certificados de autenticacin de sitio web" acordes a la normativa
europea en la materia.
Nivel ALTO
Se emplearn "certificados cualificados de autenticacin del sitio web" acordes
a la normativa europea en la materia.
Quince. El anexo III titulado Auditora de la seguridad, queda redactado como sigue:
1. Objeto de la auditora.

a) Que la poltica de seguridad define los roles y funciones de los responsables

de la informacin, los servicios, los activos y la seguridad del sistema de informacin.
b) Que existen procedimientos para resolucin de conflictos entre dichos
responsables.
c) Que se han designado personas para dichos roles a la luz del principio de
"separacin de funciones".
d) Que se ha realizado un anlisis de riesgos, con revisin y aprobacin anual.
e) Que se cumplen las recomendaciones de proteccin descritas en el
anexoII, sobre Medidas de Seguridad, en funcin de las condiciones de aplicacin
en cada caso.
f) Que existe un sistema de gestin de la seguridad de la informacin,
documentado y con un proceso regular de aprobacin por la direccin.
1.2 La auditora se basar en la existencia de evidencias que permitan
sustentar objetivamente el cumplimiento de los puntos mencionados:
a) Documentacin de los procedimientos.
b) Registro de incidentes.

cve: BOE-A-2015-11881
Verificable en http://www.boe.es

1.1 La seguridad de los sistemas de informacin de una organizacin ser

auditada en los siguientes trminos:

BOLETN OFICIAL DEL ESTADO

Mircoles 4 de noviembre de 2015

Sec. I. Pg. 104266

c) Examen del personal afectado: conocimiento y praxis de las medidas que le

afectan.
d) Productos certificados. Se considerar evidencia suficiente el empleo de
productos que satisfagan lo establecido en el artculo 18 Adquisicin de productos
y contratacin de servicios de seguridad.
2. Niveles de auditora.
Los niveles de auditora que se realizan a los sistemas de informacin, sern los
siguientes:
2.1 Auditora a sistemas de categora BSICA.
a) Los sistemas de informacin de categora BSICA, o inferior, no necesitarn
realizar una auditora. Bastar una autoevaluacin realizada por el mismo personal
que administra el sistema de informacin, o en quien ste delegue.
El resultado de la autoevaluacin debe estar documentado, indicando si cada
medida de seguridad est implantada y sujeta a revisin regular y las evidencias
que sustentan la valoracin anterior.
b) Los informes de autoevaluacin sern analizados por el responsable de
seguridad competente, que elevar las conclusiones al responsable del sistema
para que adopte las medidas correctoras adecuadas.
2.2 Auditora a sistemas de categora MEDIA O ALTA.
a) El informe de auditora dictaminar sobre el grado de cumplimiento del
presente real decreto, identificar sus deficiencias y sugerir las posibles medidas
correctoras o complementarias que sean necesarias, as como las recomendaciones
que se consideren oportunas. Deber, igualmente, incluir los criterios metodolgicos
de auditora utilizados, el alcance y el objetivo de la auditora, y los datos, hechos y
observaciones en que se basen las conclusiones formuladas.
b) Los informes de auditora sern analizados por el responsable de seguridad
competente, que presentar sus conclusiones al responsable del sistema para que
adopte las medidas correctoras adecuadas.
3.Interpretacin.
La interpretacin del presente anexo se realizar segn el sentido propio de sus
palabras, en relacin con el contexto, antecedentes histricos y legislativos, entre
los que figura lo dispuesto en la instruccin tcnica CCN-STIC correspondiente,
atendiendo al espritu y finalidad de aquellas.
Diecisis. Se modifica el anexo IV titulado: Glosario. La definicin de Gestin de
incidentes queda como sigue:
Gestin de incidentes. Plan de accin para atender a los incidentes que se
den. Adems de resolverlos debe incorporar medidas de desempeo que permitan
conocer la calidad del sistema de proteccin y detectar tendencias antes de que se
conviertan en grandes problemas.
Diecisiete. El anexo V relativo al Modelo de clusula administrativa particular, queda
redactado como sigue:
Clusula administrativa particular.En cumplimiento con lo dispuesto en el
artculo 115.4 del Real Decreto Legislativo 3/2011, de 14 de noviembre, por el que
se aprueba el texto refundido de la Ley de Contratos del Sector Pblico, y en el
artculo 18 del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema
Nacional de Seguridad en el mbito de la Administracin Electrnica, el licitador
incluir referencia precisa, documentada y acreditativa de que los productos de

cve: BOE-A-2015-11881
Verificable en http://www.boe.es

Nm. 264

BOLETN OFICIAL DEL ESTADO

Nm. 264

Mircoles 4 de noviembre de 2015

Sec. I. Pg. 104267

seguridad, servicios, equipos, sistemas, aplicaciones o sus componentes, cumplen

con lo indicado en la medida op.pl.5 sobre componentes certificados, recogida en el
apartado 4.1.5 del anexo II del citado Real Decreto 3/2010, de 8 de enero.
Cuando estos sean empleados para el tratamiento de datos de carcter
personal, el licitador incluir, tambin, lo establecido en la Disposicin adicional
nica del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el
reglamento de desarrollo de la Ley Orgnica 15/1999, de 13 de diciembre, de
proteccin de datos de carcter personal.
Disposicin transitoria nica. Adecuacin de sistemas.
Las entidades incluidas dentro en el mbito de aplicacin del presente real decreto
dispondrn de un plazo de veinticuatro meses contados a partir de la fecha de la entrada
en vigor del presente real decreto, para la adecuacin de sus sistemas a lo dispuesto en
el mismo.
Disposicin final nica. Entrada en vigor.
El presente real decreto entrar en vigor el da siguiente al de su publicacin en el
Boletn Oficial del Estado.
Dado en Oviedo, el 23 de octubre de 2015.
FELIPE R.
La Vicepresidenta del Gobierno y Ministra de la Presidencia,

cve: BOE-A-2015-11881
Verificable en http://www.boe.es

SORAYA SENZ DE SANTAMARA ANTN

http://www.boe.es

BOLETNOFICIALDELESTADO

D.L.:M-1/1958-ISSN:0212-033X