Plan de Protección Específico
T25: Contenidos mínimos de Planes de seguridad del Operador
(PSO), Planes de Protección Específicos (PPE) (II)
Marcos Gómez Hidalgo
Subdirector de Programas
INTECO
Índice
1. Introducción
2. Desarrollo
3. Conclusiones
4. Bibliografía
5. Glosario
2
1 – Introducción
Marco Legislativo
•
PEPIC (Programa Europeo de Protección de Infraestructuras Críticas)
aprobado en diciembre de 2004
•
PNPIC (Plan Nacional de Protección de Infraestructuras Críticas)
aprobado el 7 de mayo de 2007
•
Catálogo Nacional de Infraestructuras Estratégicas custodiado por
el CNPIC y con más 3.700 infraestructuras en España
•
Directiva 2008/114/CE, de 8 de diciembre, sobre la identificación y
designación de Infraestructuras Críticas Europeas y la evaluación de
la necesidad de mejorar su protección.
•
Ley 8/2011 de 28 de Abril, por la que se establecen las medidas de
protección de las infraestructuras críticas
•
RD 704/2011 de 21 de mayo, por el que se aprueba el Reglamento de
protección de las infraestructuras críticas
3
1 – Introducción
Sectores
4
1 – Introducción
Ley 8/2011
“Artículo 13. Operadores críticos.
1. Los operadores considerados críticos en virtud de esta Ley deberán colaborar
con las autoridades competentes del Sistema, con el fin de optimizar la protección
de las infraestructuras críticas y de las infraestructuras críticas europeas por ellos
gestionados. Con ese fin, deberán:
a) …
b) …
c) Elaborar el Plan de Seguridad del Operador en los términos y con los contenidos
que se determinen reglamentariamente.
d) Elaborar, según se disponga reglamentariamente, un Plan de Protección
Específico por cada una de las infraestructuras consideradas como críticas en
el Catálogo.
e) …
f) …
g)…”
5
1 – Introducción
RD 704/2011
“Artículo 13. Operadores críticos.
1. Los operadores críticos serán los agentes integrantes del Sistema, que,
procedentes tanto del sector público como del sector privado, reúnan las
condiciones establecidas en el artículo 13 de la Ley 8/2011, de 28 de abril.
2. En aplicación de lo previsto en la citada Ley, corresponde a los operadores críticos:
a) …
b) …
c) Elaborar el Plan de Seguridad del Operador y proceder a su actualización periódicamente o
cuando las circunstancias así lo exijan, conforme a lo que establece el Capítulo III, Título III del
presente reglamento.
d) Elaborar un Plan de Protección Específico por cada una de las infraestructuras
consideradas como críticas en el Catálogo así como proceder a su actualización
periódicamente o cuando las circunstancias así lo exijan, conforme a lo establecido en el
Capítulo IV, Título III del presente reglamento.
e) …
f) …
g)… ”
6
1 – Introducción
Calendario
(*) Planes
Estratégicos
Sectoriales
1 Año
04/2011
05/2012
6 Meses
05/2011
Designación
Publicación Publicación RD
Operador Crítico
Ley 8/2011
704/2011
3 Meses
Designación
Delegado de
Seguridad
(*) Plan de
Seguridad
Operador
(*) Planes (*) Planes
Protección
Apoyo
Específicos Operativo
4 Meses
2 Meses
2013?
Implantación
Planes de
Seguridad
3 Meses
Designación
Responsable de
Seguridad
(*) Revisar al menos bienalmente
7
2 – Desarrollo
Plan de Protección Específico (PPE)
Plan de Protección Específico: “Los PPE son los documentos operativos donde
se definen las medidas concretas a poner en marcha por los operadores críticos para
garantizar la seguridad integral (física y lógica) de sus infraestructuras críticas.”
Finalidad y Contenido
Los PPE deberán estar alineados con las pautas establecidas en la Política General
de Seguridad del Operador reflejada en el PSO. Así mismo, los análisis de
riesgos, vulnerabilidades y amenazas que se lleven a cabo, estarán sujetos a las
pautas metodológicas descritas en el PSO.
Los PPE deberán contener, al menos, la siguiente información específica sobre la
infraestructura a proteger:
• Organización de la seguridad.
• Descripción de la infraestructura.
• Resultado del análisis de riesgos: Medidas de seguridad (existentes y por
implementar) permanentes, temporales y graduales, para las diferentes tipologías de
activos a proteger y según los distintos niveles de amenaza declarados a nivel
nacional.
• Plan de acción propuesto (por cada activo evaluado en el análisis de riesgos).
8
2 – Desarrollo
1. Organización de la Seguridad



Definición de los delegados de seguridad de las IICC
Mecanismos de coordinación
Mecanismos y responsables de aprobación
2. Descripción de la IC
Con los siguientes datos:
•
Generales:
• Relativos a la denominación y tipo de instalación, propiedad y gestión de la
misma;
• Localización física y estructura (localización, planos generales, fotografías,
componentes, etc.);
• Sistemas TIC que gestionan la IC y su arquitectura;
• Estratégicos: Descripción del servicio esencial que proporciona y el ámbito
geográfico o poblacional del mismo. Relación con otras posibles infraestructuras
necesarias para la prestación de ese servicio esencial. Descripción de sus
funciones y de su relación con los servicios esenciales soportados.
9
2 – Desarrollo
2. Descripción de la IC
•
Activos / Elementos de la IC:
• Las instalaciones o componentes de la IC que son necesarios y por lo tanto
vitales para la prestación del servicio esencial.
• Los sistemas informáticos (hardware y software) utilizado.
• Las redes de comunicaciones que permiten intercambiar datos y que se utilicen
para dicha IC.
• Las personas o grupos de personas que explotan u operan todos los elementos
anteriormente citados.
• Los proveedores críticos que son necesarios para el funcionamiento de dicha IC.
•
Interdependencias:
• Con otras infraestructuras críticas del propio Operador.
• Con otras infraestructuras críticas de otros Operadores.
• Con otras infraestructuras estratégicas que soportan el servicio esencial.
• Entre sus propias instalaciones o servicios.
• Con sus proveedores dentro de la cadena de suministro.
10
2 – Desarrollo
3. Resultados del Análisis de Riesgos



Amenazas consideradas
Medidas de Seguridad:
 Organizativas o de gestión
 Operacionales o procedimentales
 De Protección o Técnicas
Valoración de riesgos
4. Plan de Acción Propuesto



Con la enumeración de las medidas complementarias a disponer
Explicación de la operativa resultante para cada tipo de protección.
El Operador deberá especificar el conjunto detallado de medidas a aplicar:
 Acción propuesta, con detalle de su ámbito (alcance) de aplicación.
 Activo de aplicación.
 Responsables de su implantación, plazos, mecanismos de coordinación y
seguimiento, etc.
 Carácter permanente, temporal o gradual de la medida
11
2 – Desarrollo
Método de revisión y actualización
Revisión: Bienal.
Actualización: cuando se produzca una modificación en los datos incluidos dentro del
PPE. En este caso, el PPE quedará actualizado cuando dichas modificaciones hayan
sido validadas por el CNPIC, o en las condiciones establecidas en su normativa
sectorial específica.
Protección y gestión de la información y documentación
El operador debe definir sus procedimientos de gestión y tratamiento de la
información, así como los estándares de seguridad precisos para prestar una
adecuada y eficaz protección de la información, independientemente del formato en el
que ésta se encuentre.
Además, los operadores designados como críticos, deberán tratar los documentos que
se deriven de la aplicación de la Ley 08/2011 por la que se establecen medidas para la
protección de las infraestructuras críticas.
12
3 – Conclusiones
Si no se cumple …
El reglamento que desarrolla la Ley está mismo no establecen un régimen
sancionador, puesto que el espíritu de la normativa PIC se basa en la confianza
mutua y la confidencialidad de la información que se comparte.
Aún así, en caso de incumplimiento de las obligaciones que establece tanto la Ley
como su desarrollo normativo, podrían ser aplicables en la mayor parte de los casos
los distintos regímenes sancionadores sectoriales y eventualmente la normativa
existente en materia de Seguridad Privada y Seguridad Civil.
13
4 – Bibliografía
 Ley 8/2011
 RD 704/2011
 Borrador de Contenidos mínimos del Plan de Seguridad del Operador (PSO)
 Borrador de Contenidos mínimos del Plan de Protección Específico (PPE)
14
5 – Glosario
PEPIC – Programa Europeo de Protección de Infraestructuras Críticas
PNPIC – Plan Nacional de Protección de Infraestructuras Críticas
Ley 8/2011 – Ley de Protección de Infraestructuras Críticas, de 28 de abril, por la
que se establecen medidas para la protección de las infraestructuras críticas.
RD 704/2011 – Real Decreto, de 20 de mayo, por el que se aprueba el Reglamento
de protección de las infraestructuras críticas
PSO – Plan de Seguridad del Operador
PPE – Plan de Protección Específico
15
Fin de la presentación
Muchas gracias
16
Descargar

Plan de Protección Específico