EL BANCO DE ESPAÑA COMO OPERADOR CRÍTICO Banco Central Nacional. En el marco del M.U.S., autoridad nacional competente (junto el BCE) en la supervisión de las entidades de crédito españolas. Funciones: como parte integrante del Sistema Europeo de Bancos Centrales (SEBC): Propias del BdE como Banco Central Nacional POLÍTICA MONERARIA ZONA EURO EMISIÓN BILLETE S DE CURSO LEGAL RESERVA DE DIVISAS ZONA EURO RESERVAS DE DIVISAS y METALES PRECIOSOS NO TRANSFERIDAS BUEN FUNCIONAMIENTO SISTEMA DE PAGOS PONER CIRCULACIÓN MONEDA METÁLICA Resolución del CNPIC nombra el Banco de España operador crítico Designar un Responsable de Seguridad y Enlace/Designar un Delegado por cada de las IC Presentar el Plan de Seguridad del Operador (PSO) en el CNPIC Presentar un Plan de Protección Específico (PPE) en el CNPIC, por cada una de las IC. 1. 2. NORMATIVA 1. Ley 8/2011 sobre medidas de protección de las Infraestructuras Críticas 2. R.D. 704/2011 – Reglamento Infraestructuras Críticas de Protección de las DESARROLLO PRÁCTICO 1. Resolución 15 de noviembre de 2011 de la Secretaria de Estado de Seguridad (Anexo I) 2. Guía de Buenas Prácticas del PSO (CNPIC) 3. Guía de Contenidos Mínimos del PSO (CNPIC) POLÍTICA GENERAL DE SEGURIDAD DEL OPERADOR RESPONSABLE DE SEGURIDAD Y DELEGADOS DE LAS INFRAESTRUCTURAS ELECCIÓN METODOLOGÍAS ANÁLISIS DE RIESGOS: COORDINACIÓN CON EL SISTEMA DE RIESGO OPERACIONAL BdE 1. Principios de la normativa de infraestructuras críticas sobre seguridad integral. 2. Marco normativo interno del BdE. 3. Principios de seguridad que derivan de dicha normativa. 4. Estructura resultante: Comité de Seguridad Integral/Grupo de Apoyo de Seguridad Integral 5. Desarrollos de futuro. Método: Analytic Hierarchy Process (AHP). Es una herramienta de apoyo a la toma de decisiones basada en la división del problema en una estructura jerárquica. SEGURIDAD LÓGICA Metodología SEGURIDAD FÍSICA Prioridad Ranking TRA 28,5% 2 3 RSMP (PRISM) 56,1% 1 1 RAMCAP Plus 15,4% 3 Prioridad Ranking MAGERIT 25,8% 2 NIST 22,9% T2 51,3% Metodología Metodología desarrollada por el Eurosistema/Sistema Europeo de Bancos Centrales (SEBC), que describe el proceso de Gestión de Riesgos para el sistema TARGET2, y ofrece orientación práctica sobre la gestión de riesgos del sistema de información basado en el marco común de gestión de riesgo operacional del Eurosistema. Ventajas Es una metodología obligatoria por el Eurosistema (para TARGET2). Emplea las métricas del ORM del Eurosistema (probabilidad e impacto). Metodología de propósito general válida para Seguridad de la Información e incluye referencias a amenazas deliberadas. Emplea el catálogo de controles basado en la ISO 27001/2. Requiere un trabajo sencillo de adaptación. Metodología desarrollada por la Comisión Europea, como guía de referencia a los Operadores Críticos del sector de la energía, basada en la metodología PRISM (Performance and Risk-based Integrated Security Methodology) que ha tomado como referencia el estándar internacional de la ISO31000. Ventajas Metodología de la Comisión Europea específica para Infraestructuras Críticas orientada al sector de la energía, aunque podría ser el germen de la metodología para otros sectores. Metodología de propósito general válida para Seguridad Física y con detalle de controles en este ámbito. Requiere un trabajo moderado de adaptación. 1.- En el marco de la nueva estructura de seguridad integral diseñada en el Plan de Seguridad del Operador. 2. – Un subgrupo por cada una de las infraestructuras críticas del BdE. Delimitación 3.- Proceso: DATOS IC Activos Interdependencias ANÁLISIS DE RIESGOS (PRISM)