Advertidos errores en el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, publicado en el «Boletín Oficial del Estado», número 25, de 29 de enero de 2010, se procede a efectuar las oportunas rectificaciones:
En la página 8097, en el artículo 27, apartado 3, donde dice: «responsable de la información», debe decir: «responsable de la seguridad del sistema».
En el anexo II, página 8105, en la tabla del apartado 2, en la medida op.pl.1, donde dice:
n.a. |
+ |
++ |
Debe decir:
aplica |
+ |
++ |
En el anexo II, página 8106, en la tabla del apartado 2, en la medida op.exp.11, donde dice:
aplica |
= |
+ |
debe decir:
aplica |
+ |
= |
En el anexo II, página 8107, apartado 2, epígrafe 4, debe añadirse un apartado «f) En las tablas del presente anexo se han empleado colores verde, amarillo y rojo de la siguiente forma: el color verde para indicar que una cierta medida se aplica en sistemas de categoría BÁSICA o superior; el amarillo para indicar las medidas que empiezan a aplicarse en categoría MEDIA o superior; el rojo para indicar las medidas que sólo son de aplicación en categoría ALTA».
En el anexo II, página 8110, en el apartado 4.1.4 se debe añadir «Nivel MEDIO» antes de «Con carácter previo a la puesta en explotación, se realizará un estudio previo que cubrirá los siguientes aspectos:».
En el anexo II, página 8111, en el apartado 4.1.5, se debe añadir «Categoría ALTA» antes de «Se utilizarán preferentemente sistemas, productos o equipos cuyas funcionalidades de seguridad y su nivel hayan sido evaluados conforme a normas europeas...».
En el anexo II, página 8112, en el apartado 4.2.3, se debe añadir «Nivel MEDIO» antes de «El sistema de control de acceso se organizará de forma que se exija la concurrencia de dos o más personas para realizar tareas críticas…».
En el anexo II, página 8113, en el apartado 4.2.4, letra c), donde dice: «propietario», debe decir: «responsable».
En el anexo II, página 8115, en el apartado 4.2.7, se debe añadir «Nivel BAJO» antes de «Se garantizará la seguridad del sistema cuando accedan remotamente usuarios u otras entidades, lo que implicará proteger tanto el acceso en sí mismo (como [op.acc.6]) como el canal de acceso remoto (como en [mp.com.2] y [mp.com.3])».
En el anexo II, página 8115, en el apartado 4.3.1, donde dice: «identificando a su propietario», debería decir: «identificando a su responsable».
En el anexo II, página 8116, en el apartado 4.3.3, se debe añadir «Categoría MEDIA» antes de «Se gestionará de forma continua la configuración de los componentes del sistema de forma que:».
En el anexo II, página 8116, en el apartado 4.3.5, se debe añadir «Categoría MEDIA» antes de «Se mantendrá un control continuo de cambios realizados en el sistema, de forma que:».
En el anexo II, página 8117, en el apartado 4.3.7, se debe añadir «Categoría MEDIA» antes de «Se dispondrá de un proceso integral para hacer frente a los incidentes que puedan tener un impacto en la seguridad del sistema, incluyendo:».
En el anexo II, página 8117, en el apartado 4.3.7, donde dice: «La gestión de incidentes que afecten a datos de carácter personal tendrá en cuenta lo dispuesto en el Real Decreto 1720 de 2007, en lo que corresponda.», debe decir: «La gestión de incidentes que afecten a datos de carácter personal tendrá en cuenta lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, y normas de desarrollo, sin perjuicio de cumplir, además, las medidas establecidas por este real decreto».
En el anexo II, página 8117, en el apartado 4.3.8, se debe añadir «Nivel ALTO» antes de «Se registrarán todas las actividades de los usuarios en el sistema, de forma que:».
En el anexo II, página 8118, en el apartado 4.3.9, se debe añadir «Categoría MEDIA» antes de «Se registrarán todas las actuaciones relacionadas con la gestión de incidencias, de forma que:».
En el anexo II, página 8118, en el apartado 4.3.10, se debe añadir «Nivel ALTO» antes de «Se protegerán los registros del sistema, de forma que:».
En el anexo II, página 8118, en el apartado 4.3.11, en el cuadro relativo a la medida op.exp.11, donde dice:
aplica |
= |
+ |
debe decir:
aplica |
+ |
= |
En el anexo II, página 8119, en el apartado 4.4.1, se debe añadir «Categoría MEDIA» antes de «Previa a la utilización de recursos externos se establecerán contractualmente las características del servicio prestado y las responsabilidades de las partes...».
En el anexo II, página 8119, en el apartado 4.4.2, se debe añadir «Categoría MEDIA» antes de «Para la gestión diaria del sistema, se establecerán los siguientes puntos:».
En el anexo II, página 8119, en el apartado 4.4.3, se debe añadir «Nivel ALTO» antes de «Estará prevista la provisión del servicio por medios alternativos en caso de indisponibilidad del servicio contratado...».
En anexo II, página 8119, en el apartado 4.5.1, se debe añadir «Nivel MEDIO» antes de «Se realizará un análisis de impacto que permita determinar:».
En el anexo II, página 8120, en el apartado 4.5.2, se debe añadir «Nivel ALTO» antes de «Se desarrollará un plan de continuidad que establezca las acciones a ejecutar en caso de interrupción de los servicios prestados con los medios habituales…:».
En el anexo II, página 8120, en el apartado 4.5.3, se debe añadir «Nivel ALTO» antes de «Se realizarán pruebas periódicas para localizar y, corregir en su caso, los errores o deficiencias que puedan existir en el plan de continuidad.».
En el anexo II, página 8120, en el apartado 4.6.1, se debe añadir «Categoría ALTA» antes de «Se dispondrán de herramientas de detección o de prevención de intrusión.».
En el anexo II, página 8120, en el apartado 4.6.2, se debe añadir «Categoría ALTA» antes de «Se establecerá un conjunto de indicadores que mida el desempeño real del sistema en materia de seguridad, en los siguientes aspectos:».
En el anexo II, página 8121, en el apartado 5.1.4, se debe añadir «Nivel BAJO» antes de «Los locales donde se ubiquen los sistemas de información y sus componentes dispondrán de la energía eléctrica…:».
En el anexo II, página 8122, en el apartado 5.1.6, se debe añadir «Nivel MEDIO» antes de «Los locales donde se ubiquen los sistemas de información y sus componentes se protegerán frente a incidentes fortuitos o deliberados causados por el agua.».
En el anexo II, página 8122, en el apartado 5.1.8, se debe añadir «Nivel ALTO» antes de «Se garantizará la existencia y disponibilidad de instalaciones alternativas para poder trabajar en caso de que las instalaciones habituales no estén disponibles…».
En el anexo II, página 8123, en el apartado 5.2.1, se debe añadir «Categoría MEDIA» antes de «Cada puesto de trabajo se caracterizará de la siguiente forma:».
En el anexo II, página 8124, en el apartado 5.2.5, se debe añadir «Nivel ALTO» antes de «Se garantizará la existencia y disponibilidad de otras personas que se puedan hacer cargo de las funciones en caso de indisponibilidad del personal habitual…».
En el anexo II, página 8124, en el apartado 5.3.1, se debe añadir «Categoría BÁSICA» antes de «Se exigirá que los puestos de trabajo permanezcan despejados, sin más material encima de la mesa que el requerido para la actividad que se está realizando en cada momento.».
En el anexo II, página 8124, en el apartado 5.3.2, se debe añadir «Nivel MEDIO» antes de «El puesto de trabajo se bloqueará al cabo de un tiempo prudencial de inactividad, requiriendo una nueva autenticación del usuario para reanudar la actividad en curso.».
En la siguiente línea, donde dice: «Categoría ALTA», debe decir: «Nivel ALTO».
En el anexo II, página 8125, en el apartado 5.3.3, se debe añadir «Categoría BÁSICA» antes de «Los equipos que abandonen las instalaciones de la organización y no puedan beneficiarse de la protección física correspondiente...».
En el anexo II, página 8125, en el apartado 5.4.1, se debe añadir «Categoría BÁSICA» antes de «Se dispondrá un sistema cortafuegos que separe la red interna del exterior...».
En el anexo II, página 8126, en el cuadro del apartado 5.4.3, donde dice:
aplica |
+ |
+ |
debe decir:
aplica |
+ |
++ |
En el anexo II, página 8127, en el apartado 5.4.4, se debe añadir «Categoría ALTA» antes de «La red se segmentará en segmentos de forma que haya:».
En el anexo II, página 8127, en el apartado 5.4.5, se debe añadir «Nivel ALTO» antes de «Se garantizará la existencia y disponibilidad de medios alternativos de comunicación para el caso de que fallen los medios habituales…».
En el anexo II, página 8127, en el apartado 5.5.2 se debe añadir «Nivel MEDIO» antes de «Se aplicarán mecanismos criptográficos que garanticen la confidencialidad y la integridad de la información contenida.».
En el anexo II, página 8128, apartado 5.5.3, epígrafe a) donde dice: «mpl.if.7», debe decir: «mp.if.7».
En el anexo II, página 8128, en el apartado 5.5.5, se debe añadir «Nivel MEDIO» antes de «La medida de borrado y destrucción de soportes de información se aplicará…».
En el anexo II, página 8129, en el apartado 5.6.1, se debe añadir «Categoría MEDIA» antes de «a) El desarrollo de aplicaciones se realizará sobre un sistema diferente y separado del de producción, no debiendo existir herramientas o datos de desarrollo en el entorno de producción.».
En el anexo II, página 8130, en el cuadro del apartado 5.7.1, donde dice:
aplica |
aplica |
aplica |
debe decir:
aplica |
= |
= |
En el anexo II, página 8130, en el apartado 5.7.2, se debe añadir «Nivel BAJO» antes de «1. Para calificar la información se estará a lo establecido legalmente sobre la naturaleza de la misma».
En el anexo II, página 8131, en el apartado 5.7.3, se debe añadir «Nivel ALTO» antes de «Para el cifrado de información se estará a lo que se indica a continuación:».
En el anexo II, página 8132, en el apartado 5.7.5, se debe añadir «Nivel ALTO» antes de «Los sellos de tiempo prevendrán la posibilidad del repudio posterior:».
En el anexo II, página 8133, en el apartado 5.7.7, se debe añadir «Nivel MEDIO» antes de «Se realizarán copias de respaldo que permitan recuperar datos perdidos accidental o intencionadamente con una antigüedad determinada».
En el anexo II, página 8134, en el apartado 5.8.4, se debe añadir «Nivel ALTO» antes de «Se garantizará la existencia y disponibilidad de medios alternativos para prestar los servicios en el caso de que fallen los medios habituales…».
Agencia Estatal Boletín Oficial del Estado
Avda. de Manoteras, 54 - 28050 Madrid