SECRETARA DE ESTADO DE SEGURIDAD

GABINETE DE COORDINACIN

CONTENIDOS MNIMOS PLAN DE SEGURIDAD DEL OPERADOR (PSO)

DE SEGURIAD GABINETE DE COORDINACION

Texto refundido a partir de las siguientes Resoluciones: Resolucin de 15 de noviembre de 2011, de la Secretara de Estado de Seguridad, por la que se establecen los contenidos mnimos de los planes de seguridad del operador y planes de proteccin especficos conforme a lo dispuesto en el Real Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento de proteccin de infraestructuras crticas. Resolucin de 29 de noviembre de 2011, de la Secretara de Estado de Seguridad, por la que se corrigen errores en la de 15 de noviembre de 2011, por la que se establecen los contenidos mnimos de los planes de seguridad del operador y planes de proteccin especficos conforme a lo dispuesto en el Real Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento de proteccin de infraestructuras crticas.

MINISTERIO DEL INTERIOR

SECRETARA DE ESTADO DE SEGURIDAD

GABINETE DE COORDINACIN

Contenidos Mnimos Plan de Seguridad del Operador (PSO) ndice

1. Introduccin. 1.1 Base Legal. 1.2 Objetivo de este Documento. 1.3 Finalidad y Contenido del PSO. 1.4 Mtodo de Revisin y Actualizacin. 1.5 Proteccin y Gestin de la Informacin y Documentacin. 2. Poltica general de seguridad del operador y marco de gobierno. 2.1 Poltica General de Seguridad del Operador. 2.2 Marco de Gobierno de Seguridad. 2.2.1 Organizacin de la Seguridad. 2.2.1.1 El Responsable de Seguridad y Enlace. 2.2.1.2 El Delegado de Seguridad de la Infraestructura Crtica. 2.2.2 Formacin y Concienciacin. 2.2.3 Modelo de Gestin Aplicado. 3. Relacin de Servicios Esenciales Prestados por el Operador Crtico. 3.1 Identificacin de los Servicios Esenciales. 3.2 Mantenimiento del Inventario de Servicios Esenciales. 3.3 Estudio de las Consecuencias de la Interrupcin del Servicio Esencial. 3.4 Interdependencias. 4. Metodologa de Anlisis de Riesgos. 4.1 Descripcin de la Metodologa de Anlisis. 4.2 Tipologas de Activos que Soportan los Servicios Esenciales. 4.3 Identificacin y Evaluacin de Amenazas. 4.4 Valoracin y Gestin de Riesgos. 5. Criterios de Aplicacin de Medidas de Seguridad Integral. 6. Documentacin Complementaria. 6.1 Normativa, Buenas Prcticas y Regulatoria. 6.2 Coordinacin con Otros Planes

MINISTERIO DEL INTERIOR ______________________ SECRETARIA DE ESTADO DE SEGURIDAD

1. Introduccin 1.1 Base Legal El normal funcionamiento de los servicios esenciales que se prestan a la ciudadana descansa sobre una serie de infraestructuras de gestin tanto pblica como privada, cuyo funcionamiento es indispensable y no permite soluciones alternativas: las denominadas infraestructuras crticas. Por ello, se hace necesario el diseo de una poltica de seguridad homognea e integral en el seno de las organizaciones que est especficamente dirigida al mbito de las infraestructuras crticas, en la cual se definan los subsistemas de seguridad que se van a implantar para la proteccin de las mismas con el objetivo de impedir su destruccin, interrupcin o perturbacin, con el consiguiente perjuicio de la prestacin de los servicios esenciales a la poblacin. Este es precisamente el espritu de la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la proteccin de las infraestructuras crticas, que tiene como objeto el establecer las estrategias y las estructuras organizativas adecuadas que permitan dirigir y coordinar las actuaciones de los distintos rganos de las administraciones pblicas en materia de proteccin de infraestructuras crticas, previa identificacin y designacin de las mismas, impulsando la colaboracin e implicacin de los organismos y empresas gestoras y propietarias (operadores crticos) de dichas infraestructuras, a fin de optimizar el grado de proteccin de stas contra ataques deliberados tanto fsicos como lgicos, que puedan afectar a la prestacin de los servicios esenciales. Dicha Ley tiene su desarrollo a travs del Real Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento de proteccin de las infraestructuras crticas. El artculo 13 de la Ley explicita una serie de compromisos para los operadores crticos pblicos y privados, entre los que se la necesidad de elaboracin de un Plan de Seguridad del Operador (en adelante PSO encuentra) y de los Planes de Proteccin Especficos que se determinen (en adelante PPE). Por su parte, el artculo 22.4 del Real Decreto 704/2011 responsabiliza a la Secretara de Estado de Seguridad, a travs del CNPIC, del establecimiento y puesta a disposicin de los operadores de los contenidos mnimos con los que deben contar los PSO, as como el modelo en el que basar la elaboracin de los mismos.

MINISTERIO DEL INTERIOR ______________________ SECRETARIA DE ESTADO DE SEGURIDAD

1.2 Objetivo de este Documento Con el presente documento se pretende dar cumplimiento a las instrucciones emanadas del Real Decreto 704/2011, estableciendo los contenidos mnimos sobre los que se debe de apoyar el operador a la hora del diseo y elaboracin de su PSO. A su vez, se establecen algunos puntos explicativos sobre aspectos recogidos en la normativa de referencia. Igualmente, se pretende orientar a aquellos operadores que hayan sido o vayan a ser designados como crticos en el diseo y elaboracin de su respectivo Plan, con el fin de que stos puedan definir el contenido de su poltica general y el marco organizativo de seguridad, que encontrar su desarrollo especfico en los PPE de cada una de sus infraestructuras crticas. 1.3 Finalidad y Contenido del PSO El PSO definir la poltica general del operador para garantizar la seguridad integral del conjunto de instalaciones o sistemas de su propiedad o gestin. El PSO, como instrumento de planificacin del Sistema de Proteccin de Infraestructuras Crticas, contendr, adems de un ndice referenciado sobre los contenidos del Plan, al menos la siguiente informacin: Poltica general de seguridad del operador y marco de gobierno. Relacin de Servicios Esenciales prestados por el Operador Crtico. Metodologa de anlisis de riesgo (amenazas fsicas y lgicas). Criterios de aplicacin de Medidas de Seguridad Integral. 1.4 Mtodo de Revisin y Actualizacin Conforme al artculo 24 del Real Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento de proteccin de las infraestructuras crticas, entre las obligaciones del operador, adems de la elaboracin y presentacin del PSO al Centro Nacional de Proteccin de Infraestructuras Crticas (en adelante CNPIC), se incluye su revisin y actualizacin peridica: Revisin: Bienal. Actualizacin: Cuando se produzca algn tipo de modificacin en los datos incluidos en el PSO. En este caso, el PSO quedar actualizado cuando dichas modificaciones hayan sido validadas por el CNPIC, o en las condiciones establecidas en su normativa sectorial especfica. 4
MINISTERIO DEL INTERIOR ______________________ SECRETARIA DE ESTADO DE SEGURIDAD

1.5 Proteccin y Gestin de la Informacin y Documentacin La informacin es un valor estratgico para cualquier organizacin, por lo que en este sentido, el operador debe definir sus procedimientos de gestin y tratamiento de la informacin, as como los estndares de seguridad precisos para prestar una adecuada y eficaz proteccin de la informacin, independientemente del formato en el que sta se encuentre. Adems, los operadores designados como crticos, debern tratar los documentos que se deriven de la aplicacin de la Ley 8/2011 y su desarrollo normativo a travs del Real Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento de proteccin de las infraestructuras crticas, segn el grado de clasificacin que se derive de las citadas normas. En virtud de la disposicin adicional segunda de la ley 08/2011, la clasificacin del PSO constar de forma expresa en el instrumento de su aprobacin. A tal fin, el tratamiento de los PSO deber estar regido conforme a las orientaciones publicadas por la Autoridad Nacional para la Proteccin de la Informacin Clasificada del Centro Nacional de Inteligencia en lo que se refiere al manejo y custodia de informacin clasificada con grado de Difusin Limitada. Las orientaciones de referencia se encuentran recogidas en los siguientes documentos:

SEGURIDAD DOCUMENTAL OR-ASIP-04-01.03 Orientaciones para el Manejo de Informacin Clasificada con Grado de Difusin Limitada. SEGURIDAD EN EL PERSONAL OR-ASIP-02-02.02 Instruccin de Seguridad del Personal para acceso a Informacin Clasificada. SEGURIDAD FSICA OR-ASIP-01-01.02 Orientaciones para el Plan de Proteccin de una Zona de Acceso Restringido. OR-ASIP-01-02.02 Orientaciones para la Constitucin de Zonas de Acceso Restringido.

MINISTERIO DEL INTERIOR ______________________ SECRETARIA DE ESTADO DE SEGURIDAD

2. Poltica general de seguridad del operador y marco de gobierno 2.1 Poltica General de Seguridad del Operador. El objetivo de una Poltica de Seguridad es dirigir y dar soporte a la gestin de la seguridad. En ella, la Direccin de la Organizacin debe establecer claramente cules son sus lneas de actuacin y manifestar su apoyo y compromiso con la seguridad. Por tanto, en este apartado, el operador deber reflejar el contenido de su Poltica de Seguridad de una forma homognea e integral que est especficamente dirigida al mbito de las infraestructuras crticas, y que sirva de marco de referencia para la proteccin de las mismas, con el objetivo de impedir su perturbacin o destruccin. Los aspectos mnimos que debe recoger la Poltica de Seguridad son: Objeto: La meta que pretende conseguir la Organizacin con la Poltica y su posterior desarrollo y aplicacin. mbito o Alcance de Aplicacin: Una poltica puede estar limitada a determinados campos o aspectos o, por el contrario, ser de aplicacin a toda una Organizacin. El Operador deber reflejar a qu partes de su Organizacin es aplicable la Poltica de Seguridad, sin perder de vista que la misma ha de tener un carcter integral, considerando tanto la seguridad fsica como la lgica. Compromiso de la Alta Direccin: El Operador debe garantizar que a la seguridad debe drsele la misma importancia que a otros factores de la produccin o negocio de la organizacin. Por ello, el compromiso de la Organizacin con la Poltica de Seguridad y lo que de ella se desarrolle deber quedar plasmado mediante la aprobacin, sancin y apoyo de la misma por el rgano (Consejo de Administracin, Consejo de Direccin, etc.) o la persona (Presidente, Consejero Delegado, etc.) de gobierno o direccin de la misma, as como su firme y explcito compromiso con la proteccin de los servicios esenciales prestados. Carcter Integral de la Seguridad: La seguridad fsica y lgica son reas que deben ser abordadas de forma interrelacionada y con una perspectiva holstica de la seguridad. Esto redundar en una visin global de la seguridad, posibilitando el diseo de una estrategia corporativa nica, optimizando el conocimiento, los recursos, y los equipos. Por ello, el Operador deber remarcar el carcter integral de la seguridad aplicada a sus infraestructuras crticas. En este sentido, una respuesta integral a las diferentes amenazas existentes requiere la aplicacin coordinada de medidas de seguridad tanto fsicas como lgicas. 6
MINISTERIO DEL INTERIOR ______________________ SECRETARIA DE ESTADO DE SEGURIDAD

Relacin del PSO con otras normativas o reglamentaciones aplicables: Esta referencia podr ser incorporada en el punto 6 de esta gua. Actualizacin de la Poltica: Al ser la poltica un documento de alto nivel, no suele requerir cambios significativos a lo largo del tiempo. No obstante, el Operador deber asegurarse de que sta se mantenga actualizada y refleje aquellos cambios requeridos por variaciones en los activos a proteger, del entorno que les pueda afectar (amenazas, vulnerabilidades, impactos, salvaguardas), o en la reglamentacin aplicable. En este apartado, el Operador deber recoger el proceso a seguir para la actualizacin y mantenimiento de la Poltica, incluyendo el responsable de llevar a cabo estas acciones. 2.2 Marco de Gobierno de Seguridad 2.2.1 Organizacin de la Seguridad. El Operador Crtico debe designar a un responsable de seguridad y enlace y a unos delegados de seguridad de acuerdo a los requisitos establecidos en la Ley 8/2011. Deber, por tanto, asegurarse de que stos estn en un nivel jerrquico suficiente en su estructura organizacional, de tal forma que los designados puedan garantizar el cumplimiento y la aplicacin de la Poltica y de los requisitos establecidos para la proteccin de las infraestructuras crticas bajo su responsabilidad. En este apartado, el Operador Crtico deber describir su organigrama de seguridad (afectando a la Seguridad Fsica y la Seguridad Lgica), con indicacin de las figuras recogidas en la Ley, as como los niveles jerrquicos que les correspondan en su estructura organizativa. Adems, deber dejar constancia de que los designados tienen capacidad suficiente para llevar a cabo todas aquellas acciones que se deriven de la aplicacin de la Ley y el Real Decreto: Organigrama de Seguridad. Organigrama general en el que se seale dnde se integran las distintas funciones de seguridad en la organizacin. Asimismo, el Operador Crtico deber sealar los Comits u rganos de decisin existentes en materia de seguridad fsica y lgica. A su vez se deber de reflejar si la gestin y el mantenimiento de la seguridad integral en alguno de sus mbitos es propia o subcontratada. En este ltimo supuesto se deber de reflejar el tipo de servicios y compromisos acordados entre el operador y la empresa contratada.

MINISTERIO DEL INTERIOR ______________________ SECRETARIA DE ESTADO DE SEGURIDAD

2.2.1.1 El Responsable de Seguridad y Enlace Conforme al artculo 16.2 de la Ley, el Operador Crtico deber designar a una persona en la organizacin que deber estar habilitada por el Ministerio del Interior como Director de Seguridad, en virtud de lo dispuesto en el Real Decreto 2364/1994, de 9 de diciembre, en el que se aprueba el Reglamento de Seguridad Privada, o tener una habilitacin equivalente, segn su normativa sectorial especfica. El operador crtico deber hacer constar en este apartado el nombre y datos de contacto (direccin, telfonos y email) de la persona que fue designado como Responsable de Seguridad y Enlace as como de su sustituto. Sus funciones en relacin con el artculo 34.2 del Real Decreto 704/2011 son las siguientes: Representar al operador crtico ante la Secretaria de Estado de Seguridad: En materias relativas a la seguridad de sus infraestructuras. En lo relativo a los diferentes planes especificados en el Real Decreto. Canalizar las necesidades operativas e informativas que surjan. 2.2.1.2 El Delegado de Seguridad de la Infraestructura Crtica. Conforme al artculo 17 de la Ley, el Operador Crtico con infraestructuras designadas como crticas o crticas europeas comunicar a las Delegaciones del Gobierno o, en su caso, al rgano competente de la Comunidad Autnoma con competencias estatutariamente reconocidas para la proteccin de personas y bienes y para el mantenimiento del orden pblico donde aquellas se ubiquen, la persona designada como Delegado de seguridad y su sustituto. El operador crtico deber hacer constar en este apartado el nombre y datos de contacto (direccin, telfonos y email) de la persona que fue designado como Delegado de Seguridad as como de su sustituto, cumpliendo los plazos establecidos desde su designacin como operador crtico as como su participacin a las Autoridades correspondientes, segn lo establecido en el artculo 35.1 del Real Decreto 704/2011. Sus funciones en relacin con el artculo 35.2 del Real Decreto 704/2011, son las siguientes: Ser el enlace operativo y el canal de informacin con las autoridades competentes en materias relativas a la seguridad de sus infraestructuras. Canalizar las necesidades operativas e informativas que surjan.

MINISTERIO DEL INTERIOR ______________________ SECRETARIA DE ESTADO DE SEGURIDAD

2.2.2 Formacin y Concienciacin. El Operador Crtico deber colaborar con los programas o ejercicios que puedan derivarse del Plan Estratgico Sectorial, as como en su momento de los Planes de Apoyo Operativo. El Operador Crtico deber reflejar en este apartado el Plan de Formacin previsto para el personal relacionado con la proteccin de las infraestructuras crticas. En el caso de que disponga de un Plan de Formacin General, especificar la parte relacionada con la proteccin de las infraestructuras crticas, y la incluir en este punto. El personal implicado directamente en la proteccin de los servicios esenciales e Infraestructuras crticas deber ser formado para alcanzar las siguientes habilidades: Capacidad de comprensin de la seguridad integral (fsica y lgica). Capacidad de comprensin de la autoproteccin. Capacidad de comprensin de la seguridad del medio ambiente. Habilidades organizativas y de comunicacin. El personal no directamente implicado deber ser concienciado mediante la aplicacin de las polticas de formacin y operacionales activas en la organizacin. 2.2.3 Modelo de Gestin Aplicado. La seguridad integral depende de un proceso de gestin integral que debe aportar el control organizativo y tcnico necesario para determinar en todo momento el nivel de exposicin a las amenazas y el nivel de proteccin y respuesta que es capaz de proporcionar la organizacin para la proteccin y seguridad de sus servicios esenciales e Infraestructuras Crticas. Por tanto, de acuerdo con esta poltica de seguridad, el Operador Crtico deber recoger dentro del PSO su modelo de gestin, que deber contemplar al menos, los siguientes aspectos: Una implementacin de controles de seguridad acorde con las prioridades y necesidades evaluadas. Una evaluacin y monitorizacin peridica de seguridad.

MINISTERIO DEL INTERIOR ______________________ SECRETARIA DE ESTADO DE SEGURIDAD

3. Relacin de Servicios Esenciales Prestados por el Operador Crtico El PSO deber incluir, a modo de introduccin, la informacin de contexto suficiente para describir los siguientes aspectos: Presentacin general del Operador Crtico, y sector/subsector principal/es de su actividad. Estructura organizativa y societaria (en el caso de Grupos empresariales). Presencia geogrfica en los mbitos nacional e internacional, con un resumen de las Comunidades Autnomas y pases donde presten sus servicios. Principales lneas de actividad con la tipologa general de servicios / productos que ofrecen. 3.1 Identificacin de los Servicios Esenciales El PSO deber identificar aquellos servicios esenciales para la ciudadana, prestados por el operador a travs del conjunto de sus infraestructuras estratgicas ubicadas en el territorio nacional, en relacin al concepto de servicio esencial recogido en el artculo 2.a) de la Ley: Servicio necesario para el mantenimiento de las funciones sociales bsicas, la salud, la seguridad, el bienestar social y econmico de los ciudadanos. Eficaz funcionamiento de las Instituciones del Estado y las Administraciones Pblicas. 3.2 Mantenimiento del Inventario de Servicios Esenciales Peridicamente, el Operador Crtico deber revisar la relacin de servicios esenciales que figuran en su PSO, como consecuencia de la evolucin normal que cualquier empresa experimenta respecto a los servicios que ofrece. As, en este mantenimiento deber incorporar aquellos cambio/s que se produzcan: Por causas endgenas (por ejemplo, ajuste de cartera de servicios, fusiones, adquisiciones o ventas de activos, etc.). Como consecuencia de la adecuacin a los perodos establecidos en el Plan conforme al punto 1.4 de esta gua.

10

MINISTERIO DEL INTERIOR ______________________ SECRETARIA DE ESTADO DE SEGURIDAD

3.3 Estudio de las Consecuencias de la Interrupcin del Servicio Esencial El Operador Crtico deber llevar a cabo un estudio de las consecuencias que supondra la interrupcin y no disponibilidad del servicio esencial que presta a la sociedad, motivado por alguna alteracin o interrupcin en el tiempo o una destruccin parcial o total de las infraestructuras que gestionan dicho servicio. 3.4 Interdependencias En relacin con el concepto de interdependencias recogido en el artculo 2.j) de la Ley, pueden existir efectos y repercusiones que afecten los servicios esenciales y las infraestructuras crticas propias y/o de otros operadores, tanto dentro del mismo sector como en mbitos diferentes. Estas interdependencias debern ser en todo caso consideradas en el anlisis de riesgos que realicen los operadores en el marco global de su organizacin, dentro del PSO. El Operador Crtico deber hacer referencia dentro de su PSO a las interdependencias que, en su caso, identifique, explicando brevemente el motivo que las origina: Entre sus propias instalaciones o servicios. Con servicios esenciales prestados por otros Operadores Crticos del mismo sector. Con servicios esenciales prestados a otros Operadores Crticos de distinto sector. Con servicios esenciales prestados por operadores de otros pases. Con sus proveedores dentro de la cadena de suministros. 4. Metodologa de Anlisis de Riesgos En virtud de lo establecido en el artculo 22.3 del Real Decreto 704/2011, en el PSO se deber establecer una metodologa de anlisis de riesgos internacionalmente reconocida que garantice la continuidad de los servicios proporcionados por dicho operador en la que se contemple, de una manera global, tanto las amenazas fsicas como lgicas existentes contra la totalidad de sus activos, con independencia de las medidas mnimas que se puedan establecer para los Planes de Proteccin Especficos conforme a lo establecido por el artculo 25.

11

MINISTERIO DEL INTERIOR ______________________ SECRETARIA DE ESTADO DE SEGURIDAD

4.1 Descripcin de la Metodologa de Anlisis Se describir de forma genrica la metodologa empleada por la Organizacin para la realizacin de los anlisis de riesgos de los PPE que se deriven tras la designacin de sus infraestructuras crticas. Al menos, se aportar la siguiente informacin: Etapas esenciales. Algoritmos de clculo empleados. Carcter cuantitativo o cualitativo. Mtodo empleado para la valoracin de los impactos. Mtricas de medicin de riesgos aceptables, residuales, etc. En particular, se harn constar las relaciones entre los anlisis de riesgos realizados a distintos niveles: A nivel de corporacin, a nivel de servicios y el ms concreto, a nivel de infraestructuras crticas. 4.2 Tipologas de Activos que Soportan los Servicios Esenciales Se denominan activos los recursos necesarios para que la Organizacin funcione correctamente y alcance los objetivos propuestos por su direccin. Sobre la base de los servicios identificados en el apartado 3.1 anterior, se incluirn en este apartado, para cada servicio esencial, los tipos de activos que los soportan, diferenciando aquellos que son crticos de los que no lo son. Algunas de las tipologas de activos a considerar son: Los servicios esenciales que prestan. Las instalaciones necesarias para la prestacin del servicio esencial. Los sistemas informticos (hardware y software). Las redes de comunicaciones que permiten intercambiar datos. Las personas que explotan u operan todos los elementos anteriormente citados. No es objeto de esta seccin la identificacin exhaustiva de activos que soportan la actividad del operador, sino la identificacin genrica de tipologas de activos asociadas a los servicios esenciales prestados por dicho operador, y sobre los que se focalizar el anlisis de riesgos que efecte el operador. El nivel de granularidad ser aquel que permita una comprensin del funcionamiento de los servicios, as como las interrelaciones entre activos y servicios. MINISTERIO DEL INTERIOR 12 ______________________
SECRETARIA DE ESTADO DE SEGURIDAD

Los activos no sern necesariamente espacios fsicos concretos, pudiendo por ejemplo considerarse como activos sistemas distribuidos, tales como una red de datos. 4.3 Identificacin y Evaluacin de Amenazas En el marco de la normativa de proteccin de infraestructuras crticas, y de cara a garantizar la adecuada proteccin de aquellas infraestructuras que prestan servicios esenciales, el Operador Crtico deber considerar de forma especial aquellas amenazas de origen terrorista o intencionado. El Operador deber indicar expresamente las amenazas que ha considerado para la realizacin de los anlisis de riesgo, plasmando al menos: Las intencionadas, de tipo tanto fsico como lgico, que puedan afectar al conjunto de sus infraestructuras, las cuales debern identificarse de forma especfica en sus respectivos PPE. Las procedentes de interdependencias, que puedan afectar directamente a los servicios esenciales, sean estas deliberadas o no. Las dirigidas al entorno cercano o elementos interdependientes que puedan afectar a los servicios esenciales, tanto del ante-permetro fsico como lgico. 4.4 Valoracin y Gestin de Riesgos Los PSO recogern la estrategia de gestin de riesgos implementada por el Operador en cuanto a: Criterios utilizados para la valoracin de las diferentes categoras de clasificacin de los riesgos. Metodologa de seleccin de estrategia (reduccin, eliminacin, transferencia, etc.). Plazos para la implementacin de medidas en el caso de elegir una estrategia de minimizacin del riesgo con indicacin, si existe, de mecanismos de priorizacin de acciones. Tratamiento dado a las amenazas de ataques deliberados y, en particular, a aquellas que tengan una baja probabilidad pero un alto impacto debido a las consecuencias por su destruccin o interrupcin en la continuidad de los servicios esenciales. Mecanismos de seguimiento y actualizacin peridicos de niveles de riesgo.

13

MINISTERIO DEL INTERIOR ______________________ SECRETARIA DE ESTADO DE SEGURIDAD

5. Criterios de Aplicacin de Medidas de Seguridad Integral Dentro del mbito de la seguridad integral, el Operador definir a grandes rasgos los criterios utilizados en su organizacin para la aplicacin y administracin de la seguridad. En este sentido incluir de forma genrica las medidas de seguridad implantadas en el conjunto de activos y recursos sobre los que se apoyan los servicios esenciales y que se recogern en sus respectivos PPE, al objeto de hacer frente a las amenazas fsicas y lgicas identificadas en los oportunos anlisis de riesgos efectuados sobre cada una de las tipologas de sus activos. 6. Documentacin Complementaria 6.1 Normativa, Buenas Prcticas y Regulatoria El Operador recoger en una breve referencia motivada toda la normativa de aplicacin y aquellas buenas prcticas que regulen el buen funcionamiento de los servicios esenciales prestados por todas y cada una de sus infraestructuras. La normativa a incluir comprender tanto las de rango nacional, autonmico, europeo e internacional, como las sectoriales, relativas a : Seguridad Fsica. Seguridad Lgica. Seguridad de la Informacin en cualquiera de sus mbitos. Seguridad Personal. Seguridad Ambiental. Autoproteccin y Prevencin de Riesgos Laborales. 6.2 Coordinacin con Otros Planes Se identificarn todos aquellos Planes diseados por el operador relativos a otros aspectos (continuidad de negocio, gestin del riesgo, respuesta, autoproteccin, emergencias, etc.) que puedan coordinarse con el Plan de Seguridad del Operador y los respectivos Planes de Proteccin Especficos, y que sern activados en el caso de que las medidas preventivas fallen y se produzca el incidente. Madrid, 29 de noviembre de 2011 14
MINISTERIO DEL INTERIOR ______________________ SECRETARIA DE ESTADO DE SEGURIDAD