1 / 16

Plan de Protección Específico

Plan de Protección Específico T25: Contenidos mínimos de Planes de seguridad del Operador (PSO), Planes de Protección Específicos (PPE) (II). Marcos Gómez Hidalgo Subdirector de Programas INTECO. Índice. Introducción Desarrollo Conclusiones Bibliografía Glosario. 1 – Introducción.

arwen
Download Presentation

Plan de Protección Específico

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Plan de Protección Específico T25: Contenidos mínimos de Planes de seguridad del Operador (PSO), Planes de Protección Específicos (PPE) (II) Marcos Gómez Hidalgo Subdirector de Programas INTECO

  2. Índice • Introducción • Desarrollo • Conclusiones • Bibliografía • Glosario

  3. 1 – Introducción Marco Legislativo • PEPIC (Programa Europeo de Protección de Infraestructuras Críticas) aprobado en diciembre de 2004 • PNPIC (Plan Nacional de Protección de Infraestructuras Críticas) aprobado el 7 de mayo de 2007 • Catálogo Nacional de Infraestructuras Estratégicas custodiado por el CNPIC y con más 3.700 infraestructuras en España • Directiva 2008/114/CE, de 8 de diciembre, sobre la identificación y designación de Infraestructuras Críticas Europeas y la evaluación de la necesidad de mejorar su protección. • Ley 8/2011 de 28 de Abril, por la que se establecen las medidas de protección de las infraestructuras críticas • RD 704/2011 de 21 de mayo, por el que se aprueba el Reglamento de protección de las infraestructuras críticas

  4. 1 – Introducción Sectores

  5. 1 – Introducción Ley 8/2011 • “Artículo 13. Operadores críticos. • Los operadores considerados críticos en virtud de esta Ley deberán colaborar con las autoridades competentes del Sistema, con el fin de optimizar la protección de las infraestructuras críticas y de las infraestructuras críticas europeas por ellos gestionados. Con ese fin, deberán: • a) … • b) … • c) Elaborar el Plan de Seguridad del Operador en los términos y con los contenidos que se determinen reglamentariamente. • d) Elaborar, según se disponga reglamentariamente, un Plan de Protección Específico por cada una de las infraestructuras consideradas como críticas en el Catálogo. • e) … • f) … • g)…”

  6. 1 – Introducción RD 704/2011 • “Artículo 13. Operadores críticos. • Los operadores críticos serán los agentes integrantes del Sistema, que, procedentes tanto del sector público como del sector privado, reúnan las condiciones establecidas en el artículo 13 de la Ley 8/2011, de 28 de abril. • 2. En aplicación de lo previsto en la citada Ley, corresponde a los operadores críticos: • a) … • b) … • c) Elaborar el Plan de Seguridad del Operador y proceder a su actualización periódicamente o cuando las circunstancias así lo exijan, conforme a lo que establece el Capítulo III, Título III del presente reglamento. • d) Elaborar un Plan de Protección Específico por cada una de las infraestructuras consideradas como críticas en el Catálogo así como proceder a su actualización periódicamente o cuando las circunstancias así lo exijan, conforme a lo establecido en el Capítulo IV, Título III del presente reglamento. • e) … • f) … • g)… ”

  7. 1 – Introducción Calendario (*) Planes Estratégicos Sectoriales 05/2012 (*) Plan de Seguridad Operador (*) Planes Protección Específicos (*) Planes Apoyo Operativo 1 Año 6 Meses 4 Meses 04/2011 Publicación Ley 8/2011 05/2011 Publicación RD 704/2011 2013? Implantación Planes de Seguridad 2 Meses Designación Operador Crítico 3 Meses 3 Meses Designación Delegado de Seguridad Designación Responsable de Seguridad (*) Revisar al menos bienalmente

  8. 2 – Desarrollo Plan de Protección Específico (PPE) • Plan de Protección Específico: “Los PPE son los documentos operativos donde se definen las medidas concretas a poner en marcha por los operadores críticos para garantizar la seguridad integral (física y lógica) de sus infraestructuras críticas.” • Los PPE deberán estar alineados con las pautas establecidas en la Política General de Seguridad del Operador reflejada en el PSO. Así mismo, los análisis de riesgos, vulnerabilidades y amenazas que se lleven a cabo, estarán sujetos a las pautas metodológicas descritas en el PSO. • Los PPE deberán contener, al menos, la siguiente información específica sobre la infraestructura a proteger: • Organización de la seguridad. • Descripción de la infraestructura. • Resultado del análisis de riesgos: Medidas de seguridad (existentes y por implementar) permanentes, temporales y graduales, para las diferentes tipologías de activos a proteger y según los distintos niveles de amenaza declarados a nivel nacional. • Plan de acción propuesto (por cada activo evaluado en el análisis de riesgos). Finalidad y Contenido

  9. 2 – Desarrollo 1. Organización de la Seguridad • Definición de los delegados de seguridad de las IICC • Mecanismos de coordinación • Mecanismos y responsables de aprobación • Con los siguientes datos: • Generales: • Relativos a la denominación y tipo de instalación, propiedad y gestión de la misma; • Localización física y estructura (localización, planos generales, fotografías, componentes, etc.); • Sistemas TIC que gestionan la IC y su arquitectura; • Estratégicos: Descripción del servicio esencial que proporciona y el ámbito geográfico o poblacional del mismo. Relación con otras posibles infraestructuras necesarias para la prestación de ese servicio esencial. Descripción de sus funciones y de su relación con los servicios esenciales soportados. 2. Descripción de la IC

  10. 2 – Desarrollo 2. Descripción de la IC • Activos / Elementos de la IC: • Las instalaciones o componentes de la IC que son necesarios y por lo tanto vitales para la prestación del servicio esencial. • Los sistemas informáticos (hardware y software) utilizado. • Las redes de comunicaciones que permiten intercambiar datos y que se utilicen para dicha IC. • Las personas o grupos de personas que explotan u operan todos los elementos anteriormente citados. • Los proveedores críticos que son necesarios para el funcionamiento de dicha IC. • Interdependencias: • Con otras infraestructuras críticas del propio Operador. • Con otras infraestructuras críticas de otros Operadores. • Con otras infraestructuras estratégicas que soportan el servicio esencial. • Entre sus propias instalaciones o servicios. • Con sus proveedores dentro de la cadena de suministro.

  11. 2 – Desarrollo 3. Resultados del Análisis de Riesgos • Amenazas consideradas • Medidas de Seguridad: • Organizativas o de gestión • Operacionales o procedimentales • De Protección o Técnicas • Valoración de riesgos • Con la enumeración de las medidas complementarias a disponer • Explicación de la operativa resultante para cada tipo de protección. • El Operador deberá especificar el conjunto detallado de medidas a aplicar: • Acción propuesta, con detalle de su ámbito (alcance) de aplicación. • Activo de aplicación. • Responsables de su implantación, plazos, mecanismos de coordinación y seguimiento, etc. • Carácter permanente, temporal o gradual de la medida 4. Plan de Acción Propuesto

  12. 2 – Desarrollo Método de revisión y actualización Revisión: Bienal. Actualización: cuando se produzca una modificación en los datos incluidos dentro del PPE. En este caso, el PPE quedará actualizado cuando dichas modificaciones hayan sido validadas por el CNPIC, o en las condiciones establecidas en su normativa sectorial específica. El operador debe definir sus procedimientosde gestión y tratamiento de la información, así como los estándares de seguridadprecisos para prestar una adecuada y eficaz protección de la información, independientemente del formato en el que ésta se encuentre. Además, los operadores designados como críticos, deberán tratar los documentos que se deriven de la aplicación de la Ley 08/2011por la que se establecen medidas para la protección de las infraestructuras críticas. Protección y gestión de la información y documentación

  13. 3 – Conclusiones Si no se cumple … El reglamento que desarrolla la Ley está mismo no establecen un régimen sancionador, puesto que el espíritu de la normativa PIC se basa en la confianza mutua y la confidencialidad de la información que se comparte. Aún así, en caso de incumplimiento de las obligaciones que establece tanto la Ley como su desarrollo normativo, podrían ser aplicables en la mayor parte de los casos los distintos regímenes sancionadores sectoriales y eventualmente la normativa existente en materia de Seguridad Privada y Seguridad Civil.

  14. 4 – Bibliografía • Ley 8/2011 • RD 704/2011 • Borrador de Contenidos mínimos del Plan de Seguridad del Operador (PSO) • Borrador de Contenidos mínimos del Plan de Protección Específico (PPE)

  15. 5 – Glosario • PEPIC – Programa Europeo de Protección de Infraestructuras Críticas • PNPIC – Plan Nacional de Protección de Infraestructuras Críticas • Ley 8/2011 – Ley de Protección de Infraestructuras Críticas, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas. • RD 704/2011 – Real Decreto, de 20 de mayo, por el que se aprueba el Reglamento de protección de las infraestructuras críticas • PSO – Plan de Seguridad del Operador • PPE – Plan de Protección Específico

  16. Fin de la presentación Muchas gracias

More Related