Directriz Política, Marco Normativo e Xestión de Seguridade da Información ADIF-C-03 PDF

Summary

This document is a policy and framework document on information security, created by ADIF. It covers the normative aspect and management of information security, and detailed information on the organization of security. The document is dated August 2023.

Full Transcript

USO INTERNO
La autenticidad de este documento puede ser comprobada mediante el código seguro de verificación: C539MZNR50NWV45MWW3G639528

Directriz
Política, Marco
Normativo y Gestión de
Seguridad de la
Información
ADIF-C-03
Verificable en https://sede.adif.gob.es/csv/valida.jsp

Directriz, Política, Marco Normativo y Gestión de Seguridad de la DIRECCIÓN GENERAL DE SEGURIDAD, PROCESOS Y SISTEMAS CORPORATIVOS
Información Subdirección de Seguridad en la Información
ADIF-C-03 Rev. 2 Agosto 2023 Pág. 1 de 18
 USO INTERNO
La autenticidad de este documento puede ser comprobada mediante el código seguro de verificación: C539MZNR50NWV45MWW3G639528

ÍNDICE

NORMATIVA DE REFERENCIA.......................................................................................... 3
PREÁMBULO............................................................................................................ 4
1. ANTECEDENTES, OBJETO Y ALCANCE.......................................................................... 6
1.1. ANTECEDENTES.............................................................................................. 6
1.2. OBJETO....................................................................................................... 7
1.3. ALCANCE..................................................................................................... 7
2. POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN............................................................. 7
2.1. PRINCIPIOS BÁSICOS Y COMPROMISOS DE SEGURIDAD DE LA INFORMACIÓN......................... 8
2.2. DIRECTRICES DE SEGURIDAD............................................................................. 10
3. ORGANIZACIÓN DE SEGURIDAD DE LA INFORMACIÓN.................................................... 12
3.1. COMISIÓN DE SEGURIDAD INTEGRAL................................................................... 12
3.2. COMITÉ DE SEGURIDAD DE LA INFORMACIÓN.......................................................... 13
3.3. OTROS ROLES DE SEGURIDAD DE LA INFORMACIÓN................................................... 14
3.4. PROCEDIMIENTOS DE DESIGNACIÓN.................................................................... 16
4. ANEXOS....................................................................................................... 17
5. CONTROL DE MODIFICACIONES.............................................................................. 17
6. FIRMAS....................................................................................................... 18
Verificable en https://sede.adif.gob.es/csv/valida.jsp

Directriz, Política, Marco Normativo y Gestión de Seguridad de la DIRECCIÓN GENERAL DE SEGURIDAD, PROCESOS Y SISTEMAS CORPORATIVOS
Información Subdirección de Seguridad en la Información
ADIF-C-03 Rev. 2 Agosto 2023 Pág. 2 de 18
 USO INTERNO

NORMATIVA DE REFERENCIA
La autenticidad de este documento puede ser comprobada mediante el código seguro de verificación: C539MZNR50NWV45MWW3G639528

Normativa interna:

Política de Seguridad de la Información de ADIF y ADIF AV.

Normativa externa:

Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de
Seguridad.

Real Decreto 43/2021, de 26 de enero, por el que se desarrolla el Real Decreto-ley 12/2018,
de 7 de septiembre, de seguridad de las redes y sistemas de información. (En adelante,
Real Decreto 43/2021 NIS o Transposición Directiva Europea NIS).

Orden PCI/487/2019, de 26 de abril, por la que se publica la Estrategia Nacional de
Ciberseguridad 2019, aprobada por el Consejo de Seguridad Nacional. (En adelante,
Estrategia Nacional de Ciberseguridad).

Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de
los derechos digitales. (En adelante, Ley de Protección de datos).

Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016,
relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos
personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE
(Reglamento general de protección de datos, en adelante RGPD).

Real Decreto 641/2011, de 9 de mayo, por el que se modifica el Reglamento sobre seguridad
en la circulación de la Red Ferroviaria de Interés General, aprobado por Real Decreto
810/2007, de 22 de junio.
Verificable en https://sede.adif.gob.es/csv/valida.jsp

Reglamento (UE) 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014,
relativo a la identificación electrónica y servicios de confianza para las transacciones
electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE
(Reglamento eIDAS).

Ley de Protección de Infraestructuras Críticas (LPIC):

- Resolución de 8 de septiembre de 2015, de la Secretaría de Estado de Seguridad, por
la que se aprueban los nuevos contenidos mínimos de los Planes de Seguridad del
Operador y de los Planes de Protección Específicos.

- Real Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento de
protección de las Infraestructuras Críticas.

- Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de
las infraestructuras críticas.

Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las
Administraciones Públicas.

Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.

Directriz, Política, Marco Normativo y Gestión de Seguridad de la DIRECCIÓN GENERAL DE SEGURIDAD, PROCESOS Y SISTEMAS CORPORATIVOS
Información Subdirección de Seguridad en la Información
ADIF-C-03 Rev. 2 Agosto 2023 Pág. 3 de 18
 USO INTERNO

Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de
Interoperabilidad en el ámbito de la Administración Electrónica.
La autenticidad de este documento puede ser comprobada mediante el código seguro de verificación: C539MZNR50NWV45MWW3G639528

Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios
electrónicos de confianza.

Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio
electrónico.

Real Decreto Legislativo 1/1996, de 12 de abril, por el que se aprueba el texto refundido
de la Ley de Propiedad Intelectual, regularizando, aclarando y armonizando las
disposiciones legales vigentes sobre la materia.

Ley 2/2019, de 1 de marzo, por la que se modifica el texto refundido de la Ley de Propiedad
Intelectual, aprobado por el Real Decreto Legislativo 1/1996, de 12 de abril, y por el que se
incorporan al ordenamiento jurídico español la Directiva 2014/26/UE del Parlamento
Europeo y del Consejo, de 26 de febrero de 2014, y la Directiva (UE) 2017/1564 del
Parlamento Europeo y del Consejo, de 13 de septiembre de 2017.

Ley 11/2022, de 28 de junio, General de Telecomunicaciones.

ISO/IEC 27001 Requisitos de Sistemas de Gestión de la Seguridad de la Información.

ISO/IEC 27002 Código de buenas prácticas para la Gestión de la Seguridad de la Información.

PREÁMBULO

Con el fin de lograr entornos tecnológicos más seguros en nuestra sociedad, se han creado leyes
en materia de ciberseguridad tanto a nivel nacional como europeo, para regular la gestión de la
Seguridad de la Información, que, con requerimientos y obligaciones, proveen mecanismos para
Verificable en https://sede.adif.gob.es/csv/valida.jsp

que se pueda hacer frente a las ciberamenazas a las que se encuentran expuestos los sistemas de
información y redes de comunicaciones, así como sus datos. De forma alineada con esta
legislación, las organizaciones cuentan con normativa propia, que ayuda a normalizar los
preceptos en Seguridad de la Información dentro de las mismas.

El Real Decreto del Esquema Nacional de Seguridad recoge que “Desde 2010 se han producido
notables cambios en España y en la Unión Europea, incluidos la progresiva transformación digital
de nuestra sociedad, el nuevo escenario de la ciberseguridad y el avance de las tecnologías de
aplicación. Asimismo, se ha evidenciado que los sistemas de información están expuestos de forma
cada vez más intensa a la materialización de amenazas del ciberespacio, advirtiéndose un notable
incremento de los ciberataques, tanto en volumen y frecuencia como en sofisticación, con agentes
y actores con mayores capacidades técnicas y operativas; amenazas que se producen en un
contexto de alta dependencia de las tecnologías de la información y de las comunicaciones en
nuestra sociedad y de gran interconexión de los sistemas de información. Todo ello afecta
significativamente a un número cada vez mayor de entidades públicas y privadas, a sus cadenas
de suministro, a los ciudadanos y, por ende, a la ciberseguridad nacional, lo que compromete el
normal desenvolvimiento social y económico del país y el ejercicio de los derechos y libertades de
los ciudadanos, como reconocen tanto la Estrategia de Ciberseguridad Nacional de 2013 como,
particularmente, la Estrategia Nacional de Ciberseguridad 2019.”

Directriz, Política, Marco Normativo y Gestión de Seguridad de la DIRECCIÓN GENERAL DE SEGURIDAD, PROCESOS Y SISTEMAS CORPORATIVOS
Información Subdirección de Seguridad en la Información
ADIF-C-03 Rev. 2 Agosto 2023 Pág. 4 de 18
 USO INTERNO

“Por otra parte, la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, ha
ampliado el ámbito de aplicación del ENS a todo el sector público, estableciendo en su artículo 3,
La autenticidad de este documento puede ser comprobada mediante el código seguro de verificación: C539MZNR50NWV45MWW3G639528

que regula los principios generales, la necesidad de que las administraciones públicas se
relacionen entre sí y con sus órganos, organismos públicos y entidades vinculados o dependientes
a través de medios electrónicos, que garanticen la interoperabilidad y seguridad de los sistemas y
soluciones adoptadas por cada una de ellas y la protección de los datos personales, y faciliten la
prestación de servicios a los interesados preferentemente por dichos medios, señalando al ENS
como instrumento fundamental para el logro de dichos objetivos en su artículo 156.”

El Esquema Nacional de Seguridad obliga a los organismos públicos y dependientes que dispongan
de una política de Seguridad de la Información “que articule la gestión continuada de la
seguridad” y defina “los principios básicos” en Seguridad de la Información. De acuerdo a ello,
ADIF y ADIF AV cuenta con su Política de Seguridad de la Información, aprobada y firmada por la
Presidencia de la Entidad, que debe ser conocida y de obligado cumplimiento para todo el personal
de ADIF y ADIF AV, y terceros que tengan relación con esta.

Además, se dicta el Real Decreto 43/2021 NIS para “establecer mecanismos que, con una
perspectiva integral, permitan mejorar la protección frente a las amenazas que afectan a los
sistemas de información y redes”. Este Real Decreto se aplica a las entidades que “presten servicios
esenciales para la comunidad y dependan de las redes y sistemas de información para el desarrollo
de su actividad”.

“Dentro de las prioridades estratégicas de la seguridad nacional se encuentran las
infraestructuras, que están expuestas a una serie de amenazas”, entre ellas las del sector
transporte como infraestructura crítica a proteger, para ello se creó la norma cuyo objeto “es
regular la protección de las infraestructuras críticas contra ataques deliberados de todo tipo (tanto
de carácter físico como cibernético)”, y cuya finalidad “es, por lo tanto, el establecimiento de
medidas de protección de las infraestructuras críticas”.

En Ciberseguridad la protección de los datos personales en cuanto a su privacidad, en sus
tratamientos automatizados, requiere de medidas de seguridad acorde a su riesgo, acorde a ello,
Verificable en https://sede.adif.gob.es/csv/valida.jsp

la Ley de Protección de Datos marca unas obligaciones a tal fin.

En el ámbito ferroviario existe legislación nacional y europea para asegurar la continuidad y
fortalecer la gestión de la seguridad ferroviaria. La Ciberseguridad es parte de la seguridad
ferroviaria.

El Administrador de Infraestructuras Ferroviarias (en adelante, la Organización) como Organización
Pública Empresarial, dependiente del Ministerio de Transportes, Movilidad y Agenda Urbana debe
dar cumplimiento al Esquema Nacional de Seguridad, y aplicar y seguir tanto su Política de
Seguridad de la Información y su normativa. Asimismo, la Organización, designada como
operadora de servicios esenciales por el Centro Nacional de Protección de Infraestructuras Críticas
y Ciberseguridad (CNPIC), está obligada a cumplir con los requisitos del Real Decreto 43/2021 NIS y
la Ley de Protección de Infraestructuras Críticas. Por otro lado, también es necesario proteger los
datos personales que sean tratados de formada automatizada. Y estar en consonancia con la
regulación en la gestión de la seguridad ferroviaria.

Ante esta situación, es obligado, dadas las exigencias regulatorias y la cambiante naturaleza de
los entornos tecnológicos en los que se soportan los sistemas de información y las redes de ADIF,
establecer las directrices en Seguridad de la Información desde una gestión de Seguridad de la
Información reglada y formalizada, con el apoyo desde la Dirección y llegando hasta los procesos
operacionales, en los cuales existe tecnología que hay que proteger, y en los que toda la
Organización debe estar involucrada.

Directriz, Política, Marco Normativo y Gestión de Seguridad de la DIRECCIÓN GENERAL DE SEGURIDAD, PROCESOS Y SISTEMAS CORPORATIVOS
Información Subdirección de Seguridad en la Información
ADIF-C-03 Rev. 2 Agosto 2023 Pág. 5 de 18
 USO INTERNO

1. ANTECEDENTES, OBJETO Y ALCANCE
La autenticidad de este documento puede ser comprobada mediante el código seguro de verificación: C539MZNR50NWV45MWW3G639528

1.1. ANTECEDENTES

El Administrador de Infraestructuras Ferroviarias (en adelante, ADIF y ADIF AV o la Organización) es
una Entidad Pública Empresarial dependiente del Ministerio de Transportes, Movilidad y Agenda
Urbana, que contempla entre sus objetivos:

Potenciar el sistema de transporte ferroviario español mediante el desarrollo y la
administración de un sistema de infraestructuras seguro, eficiente, sostenible desde el
punto de vista económico y medioambiental, y con altos estándares de calidad (vías,
estaciones, terminales de mercancías, etc.).

Como gestor y administrador de tanto las infraestructuras ferroviarias como de la
circulación, la Organización debe hacer del ferrocarril el medio de transporte por
excelencia, aumentando la calidad de vida de los ciudadanos, conservando los elevados
estándares de seguridad actuales y trabajando para continuar mejorándolos. Para esto
tendrá como premisa principal el respeto al medio ambiente, promoviendo la integración
idónea del ferrocarril en el entorno, y favoreciendo un desarrollo sostenible.

Es fundamental gestionar y operar con la máxima eficiencia, con compromiso y
transparencia, de forma socialmente responsable, desarrollando nuevos negocios y
procurando el equilibrio económico-financiero, a la vez que se facilita el acceso de los
operadores a la infraestructura en condiciones de igualdad, y se fomenta el aumento de
cuota del transporte ferroviario frente a otros modos.

La Organización debe ser una organización que haga del desarrollo de su capital humano
uno de los pilares de éxito, que sea capaz de desarrollar una gestión eficiente de los
recursos públicos, facilitando la puesta en práctica del Plan Estratégico de Infraestructuras
Verificable en https://sede.adif.gob.es/csv/valida.jsp

y Transporte y contribuyendo a la vertebración del país y a su integración territorial.

La Subdirección de Seguridad de la Información de la Organización (en adelante, SSI) es el área
responsable de velar por la privacidad, integridad y seguridad de los entornos de los sistemas de
información, de gestión y operacionales, y las redes de comunicaciones, que dan soporte a los
servicios prestados por la Organización, así como a sus procesos de negocio.

Con la evolución y desarrollo de los sistemas de información, se ha producido un progresivo
aumento de su complejidad, volumen e importancia en la Organización. Las amenazas que
soportan han evolucionado de igual modo y con la misma intensidad.

Este entorno tecnológico que experimenta un crecimiento en dimensiones cuantitativas y
cualitativas, y el incremento, sofisticación y especialización de grupos organizados de
Ciberterrorismo o de individuos actuando en solitario, pueden suponer la presencia de riesgos de
diferente naturaleza para la Organización, que afronta el reto de realizar una constante adaptación
y mejora continua de la Seguridad de la Información para prever, detectar e investigar, responder,
informar y recuperarse ante incidentes de seguridad, todo ello alineado con un gobierno de la
Seguridad de la Información que permita involucrar a toda la Organización en mantener sus
actividades y procesos de negocio seguros.

Directriz, Política, Marco Normativo y Gestión de Seguridad de la DIRECCIÓN GENERAL DE SEGURIDAD, PROCESOS Y SISTEMAS CORPORATIVOS
Información Subdirección de Seguridad en la Información
ADIF-C-03 Rev. 2 Agosto 2023 Pág. 6 de 18
 USO INTERNO

1.2. OBJETO
La autenticidad de este documento puede ser comprobada mediante el código seguro de verificación: C539MZNR50NWV45MWW3G639528

La presente Directriz recoge el desarrollo de la Política de Seguridad de la Información (en adelante,
PSI) de la Organización, definiendo la declaración de principios y compromisos necesarios para una
gestión adecuada de la Seguridad de la Información en la Organización. Esta gestión debe estar
alineada con las directrices estratégicas y la normativa legal vigente de la Organización para
asegurar un proceso de mejora continua de la Seguridad de la Información en los Sistemas de
Información (en adelante, SSII), la gestión, operaciones y las redes.
En este sentido, la Organización debe cerciorarse de que la Seguridad de la Información es una
parte integral de cada etapa del ciclo de vida de los SSII. Además, de cara a mantener unos niveles
adecuados de seguridad, las áreas de actividad deben estar preparadas para prevenir, detectar,
reaccionar y recuperarse de incidentes.

De manera adicional, el presente documento fijará los criterios para la asignación de funciones y
responsabilidades, servirá de soporte para el desarrollo e implantación de los procedimientos de
Seguridad de la Información, y para las estrategias de formación y concienciación de los empleados
de la Organización.

1.3. ALCANCE

La PSI y la Directriz se aplican a toda la Organización e involucra a:

Todo el personal interno externo que desempeñe funciones y actividades relacionadas con
la Seguridad en la Información

Todo el personal interno o externo, que accedan y hagan uso de los sistemas de información
de la Organización.

Cualquier plan específico sobre Seguridad de la Información deberá ajustarse a las disposiciones y
recomendaciones, de carácter más general y superior del presente documento, teniendo como
Verificable en https://sede.adif.gob.es/csv/valida.jsp

base la PSI. Ante la existencia de contradicciones o discrepancias, se aplicará la PSI o medida de
carácter más restrictivo.

Se garantizará la publicación y divulgación necesaria de esta Directriz para su conocimiento por
parte de todos los obligados a su observancia.

2. POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

La PSI constituye la base del Marco Normativo de Seguridad de la Información de la Organización.
Esta recoge las normas y procedimientos para el mantenimiento y operación de la Seguridad de la
Información en la Organización. Dichas normas y procedimientos se reflejan en documentos
ordenados en diferentes niveles. A continuación, se muestra el marco normativo de la
Organización:

Política de Seguridad de la Información.
Directriz de Ciberseguridad.
Normas de Seguridad de la Información
Procedimientos de Seguridad de la Información.
Guías de uso de los sistemas de información y las redes.
Instrucciones técnicas de Seguridad de la Información.

Directriz, Política, Marco Normativo y Gestión de Seguridad de la DIRECCIÓN GENERAL DE SEGURIDAD, PROCESOS Y SISTEMAS CORPORATIVOS
Información Subdirección de Seguridad en la Información
ADIF-C-03 Rev. 2 Agosto 2023 Pág. 7 de 18
 USO INTERNO

Este marco se fundamenta en la legislación vigente, con el fin de darle cumplimiento, así como
La autenticidad de este documento puede ser comprobada mediante el código seguro de verificación: C539MZNR50NWV45MWW3G639528

para proteger los SSII de la Organización y las redes de comunicación. Para ello, se encontrará a
disposición de todos los miembros de la Organización que lo necesiten y estará sujeto a revisiones
periódicas para garantizar su actualización.

2.1. PRINCIPIOS BÁSICOS Y COMPROMISOS DE SEGURIDAD DE LA INFORMACIÓN

La Organización debe tener en cuenta los siguientes principios básicos a la hora de tomar
decisiones en materia de Seguridad de la Información, tal y como se establece en la PSI:

Seguridad como un proceso integral: La seguridad se entiende como un proceso integral
constituido por todos los elementos humanos, materiales, técnicos, jurídicos y
organizativos relacionados con los SSII. La aplicación del ENS estará presidida por este
principio, que excluye cualquier actuación puntual o tratamiento coyuntural. Se prestará
la máxima atención a la concienciación de las personas que intervienen en el proceso y la
de los responsables jerárquicos, para evitar que, la ignorancia, la falta de organización y
de coordinación o de instrucciones adecuadas, constituyan fuentes de riesgo para la
seguridad.

Gestión de la seguridad basada en los riesgos: El análisis y la gestión de los riesgos es parte
esencial del proceso de seguridad, debiendo constituir una actividad continua y
permanentemente actualizada. La gestión de los riesgos permitirá el mantenimiento de un
entorno controlado, minimizando los riesgos a niveles aceptables. La reducción a estos
niveles se realizará mediante una apropiada aplicación de medidas de seguridad, de
manera equilibrada y proporcionada a la naturaleza de la información tratada, de los
servicios a prestar y de los riesgos a los que estén expuestos. Dichas medidas de seguridad
se formalizarán en un documento denominado Declaración de Aplicabilidad.

Prevención, detección, respuesta y conservación: La seguridad de los SSII debe contemplar
Verificable en https://sede.adif.gob.es/csv/valida.jsp

las acciones relativas a los aspectos de prevención, detección y respuesta, al objeto de
minimizar sus vulnerabilidades y lograr que las amenazas sobre el mismo no se
materialicen o que, en el caso de hacerlo, no afecten gravemente a la información que
maneja o a los servicios que presta.

- Las medidas de prevención, que podrán incorporar componentes orientados a la
disuasión o a la reducción de la superficie de exposición, deben eliminar o reducir la
posibilidad de que las amenazas lleguen a materializarse.

- Las medidas de detección irán dirigidas a descubrir la presencia de un incidente de
Seguridad de la Información.

- Las medidas de respuesta, que se gestionarán en tiempo oportuno, estarán
orientadas a la restauración de la información y los servicios que pudieran haberse
visto afectados por un incidente de seguridad. Sin merma de los restantes principios
básicos y requisitos mínimos establecidos, los SSII garantizarán la conservación de los
datos e información en soporte electrónico.

De igual modo, el sistema mantendrá disponibles los servicios durante todo el ciclo vital de
la información digital, a través de una concepción y procedimientos que sean la base para
la preservación del patrimonio digital.

Directriz, Política, Marco Normativo y Gestión de Seguridad de la DIRECCIÓN GENERAL DE SEGURIDAD, PROCESOS Y SISTEMAS CORPORATIVOS
Información Subdirección de Seguridad en la Información
ADIF-C-03 Rev. 2 Agosto 2023 Pág. 8 de 18
 USO INTERNO

Existencia de líneas de defensa: Los SSII han de disponer de una estrategia de protección
La autenticidad de este documento puede ser comprobada mediante el código seguro de verificación: C539MZNR50NWV45MWW3G639528

constituida por múltiples capas de seguridad, dispuesta de forma que, cuando una de las
capas sea comprometida, permita:

- Desarrollar una reacción adecuada frente a los incidentes que no han podido evitarse,
reduciendo la probabilidad de que el sistema sea comprometido en su conjunto.

- Minimizar el impacto final sobre el mismo.

Vigilancia continua: Permitirá la detección de actividades o comportamientos anómalos y
su oportuna respuesta.

Reevaluación periódica: La evaluación permanente del estado de la seguridad de los activos
permitirá medir su evolución, detectando vulnerabilidades e identificando deficiencias de
configuración. Las medidas de seguridad se reevaluarán y actualizarán periódicamente,
adecuando su eficacia a la evolución de los riesgos y los sistemas de protección, pudiendo
llegar a un replanteamiento de la seguridad, si fuese necesario.

Segregación de responsabilidades: En los SSII se diferenciará el Responsable de Negocio, el
Responsable de la Seguridad de la Información y el Responsable de Sistemas. La
responsabilidad de la seguridad de los sistemas de información estará diferenciada de la
responsabilidad sobre la explotación de los sistemas de información concernidos. En la
presente Directiva se detallarán las atribuciones de cada responsable y los mecanismos de
coordinación y resolución de conflictos.

Dentro de la PSI se recoge el objetivo de toda la Organización para apoyar y aplicar las normas y
procedimientos. Con el fin de cumplir dicho objetivo, la Organización se marca los siguientes
compromisos relativos a la Seguridad de la información:

1. Considerar la información, así como los sistemas de gestión y operacionales que la
Verificable en https://sede.adif.gob.es/csv/valida.jsp

soportan, como activos estratégicos, manifestando así su determinación para garantizar las
siguientes características de la información y servicios gestionados por la Organización:

- Acceso.
- Integridad.
- Disponibilidad.
- Autenticidad.
- Confidencialidad
- Trazabilidad.
- Conservación.

A partir de las características mencionadas, se garantiza la seguridad de los sistemas de
gestión y operacionales, y de la información dentro de la Organización.

2. Mantener la estructura organizativa definida en el Modelo de Gobierno, permitiendo una
gestión y operación adecuadas de la Seguridad de la Información en las diferentes Áreas
de Negocio, identificando los principales responsables de cada una de ellas. Dicha
identificación facilitará la correcta implantación del cuerpo normativo de la Organización y
el desarrollo de todos los procedimientos dentro del ámbito de la Seguridad de la
Información.

Directriz, Política, Marco Normativo y Gestión de Seguridad de la DIRECCIÓN GENERAL DE SEGURIDAD, PROCESOS Y SISTEMAS CORPORATIVOS
Información Subdirección de Seguridad en la Información
ADIF-C-03 Rev. 2 Agosto 2023 Pág. 9 de 18
 USO INTERNO

3. Implantar las medidas necesarias para garantizar los niveles de seguridad requeridos de
acuerdo con la normativa aplicable en materia de Seguridad de la Información y que
La autenticidad de este documento puede ser comprobada mediante el código seguro de verificación: C539MZNR50NWV45MWW3G639528

permitan gestionar adecuadamente los incidentes que pudieran afectar a la Organización.
El nivel de seguridad necesaria para la Organización vendrá definido por la criticidad de
sus sistemas y el grado de madurez de la seguridad implantada en las redes y sistemas de
la misma.

4. Fomentar e inculcar una Cultura de Seguridad de la Información en los empleados de la
Organización, a través de acciones enfocadas en la concienciación y sensibilización sobre
las posibles amenazas y riesgos, así como de formaciones específicas con el objetivo de
ampliar el conocimiento en Seguridad de la Información del personal de la Organización.
El público objetivo de los esfuerzos de formación es todo el personal debido al carácter
transversal que la Seguridad de la Información tiene en toda la Organización.

5. Evolucionar el Sistema de Gestión de Seguridad de la Información de la Organización,
ampliando de manera progresiva su alcance e integrando paulatinamente a un mayor
número de estándares y normativas de referencia. Dicho proceso se llevará a cabo a través
de la revisión de todo el cuerpo normativo para alinearlo con las normativas aplicables y
estándares de seguridad más actuales.

6. Implementar los mecanismos necesarios que aseguren la continuidad de las actividades
críticas de la Organización ante contingencias graves que afecten a los sistemas de
información, tanto de gestión como operacionales. Para ello se deberán identificar las
diferentes actividades críticas de la Organización y las redes y los sistemas afectados por los
mismos. Es en estas actividades, redes y sistemas en los que se deben aplicar los
mecanismos necesarios para mantener el servicio de la Organización en caso de desastre o
incidente.

7. Colaborar con los organismos y agencias gubernamentales relevantes para contribuir a la
mejora de la ciberseguridad en el ámbito nacional e internacional. La Organización deberá
estar en constante contacto con otras entidades de carácter público en relación a la
Verificable en https://sede.adif.gob.es/csv/valida.jsp

Seguridad de la Información para compartir información acerca de posibles
vulnerabilidades, amenazas u oportunidades de mejora. De la misma forma, deberá estar
en contacto con las autoridades competentes en caso de que ocurra un incidente grave que
afecte a gran escala a la Organización.

2.2. DIRECTRICES DE SEGURIDAD

A continuación, se describen las diferentes directrices en materia de Seguridad de la Información
por las que se rige la Organización. Cada una de estas directrices será desarrollada en sus
respectivos procedimientos.

Gobernanza: Conjunto de prácticas y estructuras a alto nivel utilizadas para la correcta gestión de
la Seguridad de la Información dentro de la Organización. En concreto, los diferentes roles y tareas
que deben asumir los empleados que ostenten cargos de responsabilidad en materia de Seguridad
de la Información.

Gestión de Activos: Estrategia utilizada para optimizar el valor y el rendimiento de los activos de
la Organización. Dentro de esta se incluye la identificación de los activos, la selección de los más
adecuados, la planificación de su adquisición, el mantenimiento y la disposición de los mismos.

Directriz, Política, Marco Normativo y Gestión de Seguridad de la DIRECCIÓN GENERAL DE SEGURIDAD, PROCESOS Y SISTEMAS CORPORATIVOS
Información Subdirección de Seguridad en la Información
ADIF-C-03 Rev. 2 Agosto 2023 Pág. 10 de 18
 USO INTERNO

Protección de la Información: Conjunto de medidas necesarias dentro de la Organización para
asegurar que la información perteneciente a la misma cumple un nivel de seguridad mínimo. Para
La autenticidad de este documento puede ser comprobada mediante el código seguro de verificación: C539MZNR50NWV45MWW3G639528

ello se estipulan acciones, tanto a nivel técnico como a nivel documental, para evitar la fuga o
robo de la información.

Seguridad en Recursos Humanos: Conjunto de precauciones que la Organización debe tener en
cuenta para evitar brechas de seguridad en lo que respecta a las personas contratadas, los
empleados que trabajan en esta y aquellos que la abandonan. Para esto se establecerán pautas a
seguir para conocer a las personas previamente mencionadas y procedimientos disciplinarios en
caso de que fueran necesarios.

Seguridad Física: Conjunto de indicaciones que deben seguir las instalaciones que tengan
relevancia en el ámbito de Seguridad de la Información. La Seguridad Física es la primera barrera
de seguridad frente a cualquier amenaza externa a la Organización, es por ello por lo que las
habitaciones, los alrededores y los sistemas de vigilancia deben seguir dichas indicaciones.

Gestión de Eventos de Seguridad de la Información: Conjunto de acciones que se deben tomar en
caso de que un incidente o incidencia en el ámbito de Seguridad de la Información tenga lugar en
la Organización. Estas acciones pueden afectar a varias Áreas de Negocio, por lo que es de especial
interés que esta directriz sea conocida por todas ellas para su correcta aplicación.

Seguridad de aplicación: Conjunto de medidas a implantar por la Organización en las aplicaciones.
La seguridad en las aplicaciones se aplicará en todos los puntos del ciclo de vida de las mismas,
es decir, desde el desarrollo, pasando por los diferentes cambios que sufra, hasta su eliminación.

Configuración segura: Conjunto de medidas que se debe aplicar a la hora de configurar los
diferentes entornos o herramientas que se usen dentro de la Organización.

Gestión de identidad y acceso: Conjunto de medidas a través de las cuáles la Organización dará de
alta, baja o cambiará la información de los empleados. De la misma forma, asignará los derechos
de acceso pertinentes a los diferentes empleados, en función de la posición de responsabilidad
Verificable en https://sede.adif.gob.es/csv/valida.jsp

que ostente cada uno de ellos.

Gestión de amenazas y vulnerabilidades: Conjunto de acciones que se deberán llevar a cabo dentro
de la Organización para protegerse de las diferentes amenazas, y en caso de que se hagan realidad,
vulnerabilidades que puedan tener una afección negativa en ella. De la misma forma que otras
directrices, todas las Áreas de Negocio se ven afectadas por esta directriz, por lo que la
transversalidad de la misma se convierte en un elemento clave.

Continuidad: Plan de acción a través del cual la Organización podrá continuar ofreciendo servicio
en caso de desastre.

Seguridad de Relaciones con Proveedores: Conjunto de medidas que se aplican en el intercambio
de información con los proveedores. Cualquier cesión de datos a dichos proveedores deberá estar
sujeta a requisitos de seguridad equivalentes a los establecidos internamente. Para ello, se
establecerán acuerdos o contratos que garanticen el cumplimiento de los mismos y el nivel
adecuado de concienciación en materia de seguridad.

Legal y Cumplimiento: Conjunto de pautas a través de las cuáles la Organización velará por el
cumplimiento de la legislación vigente y la normativa interna de Seguridad de la Información. La
Organización gestiona datos de carácter personal en el ejercicio de sus competencias y, por tanto,
deberá implantar las medidas técnicas, legales y organizativas para dar cumplimiento a la
legislación aplicable. Todos los Sistemas de Información de la Organización, tanto de gestión como

Directriz, Política, Marco Normativo y Gestión de Seguridad de la DIRECCIÓN GENERAL DE SEGURIDAD, PROCESOS Y SISTEMAS CORPORATIVOS
Información Subdirección de Seguridad en la Información
ADIF-C-03 Rev. 2 Agosto 2023 Pág. 11 de 18
 USO INTERNO

operacionales, se ajustarán a los niveles de seguridad requeridos por la legislación en vigor y
normativa interna en materia de protección de datos de carácter personal.
La autenticidad de este documento puede ser comprobada mediante el código seguro de verificación: C539MZNR50NWV45MWW3G639528

Seguridad del sistema y de la red: Conjunto de medidas necesarias para implementar una
seguridad adecuada en la gestión de los sistemas y redes, considerando especialmente la
segregación de las últimas, la interconexión entre los sistemas, el uso de redes de comunicaciones
y el intercambio de información con otras Organizaciones, así como la interconexión con redes
externas.

Garantía de Seguridad de la Información: Conjunto de actividades que se llevarán a cabo dentro
de la Organización para asegurar que la Seguridad de la Información se está teniendo en cuenta
en todas las Áreas de Negocio y en todos los procesos que especifica la normativa tanto interna
como externa.

3. ORGANIZACIÓN DE SEGURIDAD DE LA INFORMACIÓN

La Organización establecerá un Modelo de Gobierno y Gestión, cuyo alcance permite definir e
integrar las capas de gobierno, gestión y operación de la Seguridad de la Información en la
Organización, garantizando la identificación e implementación de las funciones y
responsabilidades clave para el desarrollo de los procedimientos de seguridad.

Las funciones y áreas de responsabilidad deben segregarse para reducir la posibilidad de que se
produzcan modificaciones no autorizadas o no intencionadas o usos indebidos de los activos de la
Organización.

A continuación, se definen todos los roles, funciones, responsabilidades y procedimientos de
designación de los involucrados.

3.1. COMISIÓN DE SEGURIDAD INTEGRAL
Verificable en https://sede.adif.gob.es/csv/valida.jsp

Es el órgano de gobierno e interrelación de las áreas con responsabilidad en cada uno de los
ámbitos de seguridad. Esta Comisión está formada por los responsables de las siguientes áreas:

Dirección General de Seguridad, Procesos y Sistemas Corporat