Contenidos Minimos PSO Texto Refundido

  • View
    10

  • Download
    2

Embed Size (px)

Transcript

  • CONTENIDOS MNIMOS PLAN DE SEGURIDAD DEL OPERADOR

    (PSO)

    Texto refundido a partir de las siguientes Resoluciones:

    Resolucin de 15 de noviembre de 2011, de la Secretara de Estado de Seguridad, por la que se establecen los contenidos mnimos de los planes de seguridad del operador y planes de proteccin especficos conforme a lo dispuesto en el Real Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento de proteccin de infraestructuras crticas.

    Resolucin de 29 de noviembre de 2011, de la Secretara de Estado de Seguridad, por la que se corrigen errores en la de 15 de noviembre de 2011, por la que se establecen los contenidos mnimos de los planes de seguridad del operador y planes de proteccin especficos conforme a lo dispuesto en el Real Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento de proteccin de infraestructuras crticas.

    GABINETE DE COORDINACIN

    SECRETARA DE ESTADO DE SEGURIDAD

    DE SEGURIAD GABINETE DE COORDINACION

  • MINISTERIO DEL INTERIOR ______________________ SECRETARIA DE ESTADO

    DE SEGURIDAD

    2

    Contenidos Mnimos

    Plan de Seguridad del Operador (PSO)

    ndice

    1. Introduccin.

    1.1 Base Legal.

    1.2 Objetivo de este Documento.

    1.3 Finalidad y Contenido del PSO. 1.4 Mtodo de Revisin y Actualizacin. 1.5 Proteccin y Gestin de la Informacin y Documentacin.

    2. Poltica general de seguridad del operador y marco de gobierno.

    2.1 Poltica General de Seguridad del Operador. 2.2 Marco de Gobierno de Seguridad.

    2.2.1 Organizacin de la Seguridad.

    2.2.1.1 El Responsable de Seguridad y Enlace.

    2.2.1.2 El Delegado de Seguridad de la Infraestructura Crtica.

    2.2.2 Formacin y Concienciacin. 2.2.3 Modelo de Gestin Aplicado.

    3. Relacin de Servicios Esenciales Prestados por el Operador Crtico.

    3.1 Identificacin de los Servicios Esenciales. 3.2 Mantenimiento del Inventario de Servicios Esenciales. 3.3 Estudio de las Consecuencias de la Interrupcin del Servicio Esencial. 3.4 Interdependencias.

    4. Metodologa de Anlisis de Riesgos.

    4.1 Descripcin de la Metodologa de Anlisis. 4.2 Tipologas de Activos que Soportan los Servicios Esenciales. 4.3 Identificacin y Evaluacin de Amenazas. 4.4 Valoracin y Gestin de Riesgos.

    5. Criterios de Aplicacin de Medidas de Seguridad Integral.

    6. Documentacin Complementaria.

    6.1 Normativa, Buenas Prcticas y Regulatoria. 6.2 Coordinacin con Otros Planes

    MINISTERIO DEL INTERIOR

    SECRETARA DE ESTADO DE SEGURIDAD

    GABINETE DE COORDINACIN

  • MINISTERIO DEL INTERIOR ______________________ SECRETARIA DE ESTADO

    DE SEGURIDAD

    3

    1. Introduccin

    1.1 Base Legal

    El normal funcionamiento de los servicios esenciales que se prestan a la ciudadana descansa sobre una serie de infraestructuras de gestin tanto pblica como privada, cuyo funcionamiento es indispensable y no permite soluciones alternativas: las denominadas infraestructuras crticas. Por ello, se hace necesario el diseo de una poltica de seguridad homognea e integral en el seno de las organizaciones que est especficamente dirigida al mbito de las infraestructuras crticas, en la cual se definan los subsistemas de seguridad que se van a implantar para la proteccin de las mismas con el objetivo de impedir su destruccin, interrupcin o perturbacin, con el consiguiente perjuicio de la prestacin de los servicios esenciales a la poblacin.

    Este es precisamente el espritu de la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la proteccin de las infraestructuras crticas, que tiene como objeto el establecer las estrategias y las estructuras organizativas adecuadas que permitan dirigir y coordinar las actuaciones de los distintos rganos de las administraciones pblicas en materia de proteccin de infraestructuras crticas, previa identificacin y designacin de las mismas, impulsando la colaboracin e implicacin de los organismos y empresas gestoras y propietarias (operadores crticos) de dichas infraestructuras, a fin de optimizar el grado de proteccin de stas contra ataques deliberados tanto fsicos como lgicos, que puedan afectar a la prestacin de los servicios esenciales.

    Dicha Ley tiene su desarrollo a travs del Real Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento de proteccin de las infraestructuras crticas.

    El artculo 13 de la Ley explicita una serie de compromisos para los operadores crticos pblicos y privados, entre los que se la necesidad de elaboracin de un Plan de Seguridad del Operador (en adelante PSO encuentra) y de los Planes de Proteccin Especficos que se determinen (en adelante PPE).

    Por su parte, el artculo 22.4 del Real Decreto 704/2011 responsabiliza a la Secretara de Estado de Seguridad, a travs del CNPIC, del establecimiento y puesta a disposicin de los operadores de los contenidos mnimos con los que deben contar los PSO, as como el modelo en el que basar la elaboracin de los mismos.

  • MINISTERIO DEL INTERIOR ______________________ SECRETARIA DE ESTADO

    DE SEGURIDAD

    4

    1.2 Objetivo de este Documento

    Con el presente documento se pretende dar cumplimiento a las instrucciones emanadas del Real Decreto 704/2011, estableciendo los contenidos mnimos sobre los que se debe de apoyar el operador a la hora del diseo y elaboracin de su PSO. A su vez, se establecen algunos puntos explicativos sobre aspectos recogidos en la normativa de referencia.

    Igualmente, se pretende orientar a aquellos operadores que hayan sido o vayan a ser designados como crticos en el diseo y elaboracin de su respectivo Plan, con el fin de que stos puedan definir el contenido de su poltica general y el marco organizativo de seguridad, que encontrar su desarrollo especfico en los PPE de cada una de sus infraestructuras crticas.

    1.3 Finalidad y Contenido del PSO

    El PSO definir la poltica general del operador para garantizar la seguridad integral del conjunto de instalaciones o sistemas de su propiedad o gestin.

    El PSO, como instrumento de planificacin del Sistema de Proteccin de Infraestructuras Crticas, contendr, adems de un ndice referenciado sobre los contenidos del Plan, al menos la siguiente informacin:

    Poltica general de seguridad del operador y marco de gobierno.

    Relacin de Servicios Esenciales prestados por el Operador Crtico.

    Metodologa de anlisis de riesgo (amenazas fsicas y lgicas).

    Criterios de aplicacin de Medidas de Seguridad Integral.

    1.4 Mtodo de Revisin y Actualizacin

    Conforme al artculo 24 del Real Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento de proteccin de las infraestructuras crticas, entre las obligaciones del operador, adems de la elaboracin y presentacin del PSO al Centro Nacional de Proteccin de Infraestructuras Crticas (en adelante CNPIC), se incluye su revisin y actualizacin peridica:

    Revisin: Bienal.

    Actualizacin: Cuando se produzca algn tipo de modificacin en los datos incluidos en el PSO. En este caso, el PSO quedar actualizado cuando dichas modificaciones hayan sido validadas por el CNPIC, o en las condiciones establecidas en su normativa sectorial especfica.

  • MINISTERIO DEL INTERIOR ______________________ SECRETARIA DE ESTADO

    DE SEGURIDAD

    5

    1.5 Proteccin y Gestin de la Informacin y Documentacin

    La informacin es un valor estratgico para cualquier organizacin, por lo que en este sentido, el operador debe definir sus procedimientos de gestin y tratamiento de la informacin, as como los estndares de seguridad precisos para prestar una adecuada y eficaz proteccin de la informacin, independientemente del formato en el que sta se encuentre.

    Adems, los operadores designados como crticos, debern tratar los documentos que se deriven de la aplicacin de la Ley 8/2011 y su desarrollo normativo a travs del Real Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento de proteccin de las infraestructuras crticas, segn el grado de clasificacin que se derive de las citadas normas.

    En virtud de la disposicin adicional segunda de la ley 08/2011, la clasificacin del PSO constar de forma expresa en el instrumento de su aprobacin. A tal fin, el tratamiento de los PSO deber estar regido conforme a las orientaciones publicadas por la Autoridad Nacional para la Proteccin de la Informacin Clasificada del Centro Nacional de Inteligencia en lo que se refiere al manejo y custodia de informacin clasificada con grado de Difusin Limitada.

    Las orientaciones de referencia se encuentran recogidas en los siguientes documentos:

    SEGURIDAD DOCUMENTAL

    OR-ASIP-04-01.03 Orientaciones para el Manejo de Informacin Clasificada con Grado de Difusin Limitada.

    SEGURIDAD EN EL PERSONAL

    OR-ASIP-02-02.02 Instruccin de Seguridad del Personal para acceso a Informacin Clasificada.

    SEGURIDAD FSICA

    OR-ASIP-01-01.02 Orientaciones para el Plan de Proteccin de una Zona de Acceso Restringido.

    OR-ASIP-01-02.02 Orientaciones para la Constitucin de Zonas de Acceso Restringido.

  • MINISTERIO DEL INTERIOR ______________________ SECRETARIA DE ESTADO

    DE SEGURIDAD

    6

    2. Poltica general de seguridad del operador y marco de gobierno

    2.1 Poltica General de Seguridad del Operador.

    El objetivo de una Poltica de Seguridad es dirigir y dar soporte a la gestin de la seguridad. En ella, la Direccin de la Organizacin debe establecer claramente cules son sus lneas de actuacin y manifestar su apoyo y compromiso con la seguridad.

    Por tanto, en este apartado, el operador deber reflejar el contenido de su Poltica de Seguridad de una forma homognea e integral que est especficamente dirigida al mbito