Agencia Estatal Boletín Oficial del Estado

Ministerio de la Presidencia Agencia Estatal Boletín Oficial del Estado

Está Vd. en

Documento BOE-A-2014-11118

Orden FOM/1987/2014, de 20 de octubre, por la que se aprueba la poltica de seguridad de la informacin en el mbito de la administracin electrnica del Ministerio de Fomento.

TEXTO

La Ley 11/2007, de 22 de junio, de acceso electrnico de los ciudadanos a los Servicios Pblicos seala en su exposicin de motivos, que el principal reto que tiene la implantacin de las Tecnologas de la Informacin y las Comunicaciones en la sociedad en general, y en la Administracin en particular, es la generacin de confianza suficiente que elimine o minimice los riesgos asociados a su utilizacin.

El artculo 3 de dicha Ley dispone que son fines de la misma, entre otros, crear las condiciones de confianza en el uso de los medios electrnicos estableciendo las medidas necesarias para la preservacin de la integridad de los derechos fundamentales, y en especial, los relacionados con la intimidad y la proteccin de datos de carcter personal por medio de la garanta de la seguridad de los sistemas, los datos, las comunicaciones y los servicios electrnicos.

El Esquema Nacional de Seguridad en el mbito de la Administracin Electrnica, regulado por el Real Decreto 3/2010, de 8 de enero, persigue fundamentar la confianza en que los sistemas de informacin que soporten la prestacin de los servicios de administracin electrnica y que manejen la informacin demandada por dichos servicios, lo harn con arreglo a sus especificaciones funcionales, sin interrupciones o modificaciones fuera de control y sin que la informacin pueda llegar al conocimiento de personas no autorizadas.

Para lograr dicho propsito, resulta imprescindible acometer en primer lugar la organizacin global de la seguridad de la informacin. En la cspide de dicha organizacin se sita la Poltica de Seguridad de la Informacin como documento destinado a recoger las directrices que rigen la forma en que una organizacin gestiona y protege la informacin y los servicios que considera crticos.

El contenido de la poltica de seguridad de la informacin, recoger los aspectos detallados en la seccin 3.1 del Anexo II del Esquema Nacional de Seguridad, y adems, ser coherente con lo establecido en el Documento de Seguridad que exige el artculo 88 del Reglamento de desarrollo de la Ley Orgnica 15/1999, de 13 de diciembre, de proteccin de datos de carcter personal, aprobado por Real Decreto 1720/2007, de 21 de diciembre, prevaleciendo lo relativo a la proteccin de datos de carcter personal en caso de discrepancias.

La presente Poltica de Seguridad de la Informacin afectar a los sistemas de informacin del Ministerio de Fomento, incluyendo los organismos autnomos y agencias estatales dependientes del Departamento, as como a las entidades colaboradoras con stos sin excepciones.

En virtud de lo anterior, y en cumplimiento del artculo 11 del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el mbito de la Administracin Electrnica, con la aprobacin previa del Ministro de Hacienda y Administraciones Pblicas, dispongo:

Artculo 1. Objeto y mbito de aplicacin.

1. Esta orden tiene por objeto aprobar la Poltica de Seguridad de la Informacin (en adelante PSI) en el mbito de la Administracin Electrnica del Ministerio de Fomento y establecer el marco organizativo y tecnolgico de la misma.

2. La PSI se aplicar por todos los rganos superiores y directivos del Departamento y por los organismos pblicos y agencias estatales, a todos los sistemas de informacin que gestionen en el ejercicio de sus competencias, debiendo ser cumplida por su personal y por cualquiera que tenga acceso a sus sistemas de informacin.

Artculo 2. Misin.

Al Ministerio de Fomento le corresponde la propuesta y ejecucin de la poltica del Gobierno en los mbitos de las infraestructuras de transporte terrestre, areo y martimo, de competencia estatal; de control, ordenacin y regulacin administrativa de los servicios de transporte correspondientes; de acceso a la vivienda, edificacin, urbanismo, suelo y arquitectura, en el mbito de las competencias de la Administracin General del Estado; de ordenacin normativa de los servicios postales; de impulso y direccin de los servicios estatales relativos a astronoma, geodesia, geofsica y cartografa; y de planificacin y programacin de las inversiones relativas a las infraestructuras, materias y servicios mencionados.

Artculo 3. Marco normativo.

1. El marco normativo de las actividades de la PSI est integrado por todas las normas vigentes que afecten a la seguridad de la informacin en el mbito de la Administracin Electrnica del Ministerio de Fomento.

2. Las acciones que el Ministerio de Fomento emprenda en materia de seguridad de la informacin sern acordes con las mejores prcticas de seguridad, recogidas en las guas del CCN-STIC del Centro Criptolgico Nacional y otras normas internacionalmente reconocidas.

Artculo 4. Estructura organizativa.

La estructura organizativa de la PSI en el Ministerio de Fomento estar compuesta por los siguientes agentes:

a) El Comit de Seguridad de la Informacin,

b) El responsable de Seguridad,

c) El responsable de la Informacin,

d) El responsable del Servicio.

Artculo 5. El Comit de Seguridad de la Informacin del Ministerio de Fomento.

1. Se crea el Comit de Seguridad de la Informacin (en adelante el Comit) como grupo de trabajo en el seno de la Comisin Ministerial de Administracin Electrnica del Ministerio de Fomento.

2. El Comit estar compuesto por los siguientes miembros:

a) Presidente: La persona titular de la Inspeccin General de Fomento.

b) Vocales: Un representante, con rango mnimo de Subdirector General o asimilado, de cada uno de los rganos directivos del Ministerio de Fomento, as como de los organismos autnomos y agencias estatales dependientes del Departamento.

c) Secretario: La persona titular de la Subdireccin General de Tecnologas de la Informacin y Administracin Electrnica, que tendr voz y voto.

Todos los miembros del Comit tendrn un suplente. Los miembros del Comit y los respectivos suplentes sern designados por los titulares de los rganos superiores y directivos del Departamento y de los Organismos Pblicos.

3. El Comit supervisar el cumplimiento del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad, coordinar todas las actividades relacionadas con la seguridad de la informacin y ejercer las siguientes funciones:

a) Elaborar las propuestas de modificacin y actualizacin permanente de la PSI del Ministerio de Fomento para su aprobacin por la Comisin Ministerial de Administracin Electrnica del Departamento.

b) Impulsar el cumplimiento de la PSI y su desarrollo normativo segn lo previsto en el artculo 12.b) de la presente Orden.

c) Aprobar las normas de desarrollo de la PSI de segundo nivel, previstas en el artculo 12.b).

d) Velar por el cumplimiento y difusin de la PSI, promoviendo actividades de concienciacin y formacin en materia de seguridad para el personal del Departamento.

e) Coordinar las relaciones con el Comit de Seguridad de la Informacin de las Administraciones Pblicas.

f) Tomar aquellas decisiones que garanticen la seguridad de la informacin y de los servicios del Departamento.

4. El Comit se reunir con carcter ordinario, al menos, anualmente. Por razones de urgencia podr reunirse siempre que el Presidente lo estime conveniente.

El Comit podr recabar del personal tcnico propio o externo la informacin pertinente para la toma de sus decisiones, as como invitar a dicho personal a las reuniones con voz y sin voto.

El Comit de Seguridad de la Informacin ajustar su funcionamiento a las previsiones contenidas en el captulo II del Ttulo II de la Ley 30/1992, de 26 de noviembre, de Rgimen Jurdico de las Administraciones Pblicas y del Procedimiento Administrativo Comn, relativo a los rganos colegiados.

Artculo 6. El Responsable de Seguridad.

1. Conforme al artculo 10 del Real Decreto 3/2010, de 8 de enero, el Responsable de la Seguridad determina las decisiones para satisfacer los requisitos de seguridad de la informacin y de los servicios.

2. El Responsable de Seguridad del Ministerio de Fomento ser el titular de la Subdireccin General de Tecnologas de la Informacin y Administracin Electrnica, desempeando las siguientes funciones:

a) Velar por la ejecucin de las decisiones del Comit.

b) Preparar los temas a tratar en las reuniones del Comit, realizar la convocatoria y elaborar el acta de las mismas; as como asesorar y darle soporte en cuantos asuntos estime de inters.

c) Verificar que las medidas de seguridad son adecuadas para la proteccin de la informacin y de los servicios.

d) Supervisar los sistemas de control interno, las evaluaciones peridicas de riesgos que se lleven a cabo en el Ministerio de Fomento y planificar las auditoras peridicas.

e) Promover la concienciacin, educacin y formacin en materia de seguridad de la informacin a todo el personal.

f) Coordinar la investigacin de incidentes de seguridad de la informacin.

g) Proponer al Comit la normativa de seguridad de segundo nivel a la que se refiere el artculo 12.b).

h) Asumir las funciones explcitamente atribuidas a la figura del Responsable de Seguridad en el Real Decreto 1720/2007, de 21 de diciembre de desarrollo de la Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter Personal, y en el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad.

3. Cada uno de los rganos superiores y directivos Ministerio de Fomento y de los organismos autnomos y agencias estatales designarn una persona responsable que actuar como Responsable de Seguridad delegado y que servir de apoyo al Responsable de Seguridad para el desarrollo de las tares necesarias para la implantacin de la PSI en sus respectivos mbitos.

Artculo 7. El Responsable de la Informacin.

1. El Responsable de la Informacin es la persona que determina los requisitos de la informacin tratada, en del marco establecido en el anexo I del Real Decreto 3/2010, de 8 de enero, pudiendo solicitar una propuesta previa al Responsable de la Seguridad.

2. Esta responsabilidad recaer sobre la persona titular de la Subdireccin General o Unidad equivalente que gestione cada procedimiento administrativo.

Artculo 8. El Responsable del Servicio.

1. El Responsable del Servicio es la persona que determina los requisitos de los servicios prestados, en del marco establecido en el Anexo I del Real Decreto 3/2010, de 8 de enero, solicitando una propuesta al Responsable de la Seguridad.

2. Esta responsabilidad recaer en titular de la Subdireccin General o unidad administrativa equivalente que gestione cada servicio.

Artculo 9. Resolucin de conflictos.

En caso de conflicto entre los diferentes responsables que componen la estructura organizativa de la PSI prevalecer la decisin del Comit de Seguridad de la Informacin.

Artculo 10. Formacin y concienciacin.

1. El Ministerio de Fomento desarrollar actividades formativas especficas orientadas a la concienciacin y formacin de los empleados del Departamento, as como a la difusin entre los mismos de la PSI y de su desarrollo normativo.

2. A estos efectos, debern incluirse actividades formativas en esta materia dentro de los Planes de Formacin del Ministerio de Fomento.

Artculo 11. Gestin de los riesgos.

1. La gestin de riesgos para la seguridad de la informacin se realizar de manera continua sobre los sistemas de informacin, conforme con la legislacin aplicable, incluidos los principios de gestin de la seguridad basada en los riesgos y reevaluacin peridica, sealados en los artculos 6 y 9 del Real Decreto 3/2010, de 8 de enero.

2. Los Responsables de la Informacin y del Servicio son los encargados, de realizar el preceptivo anlisis de riesgos El Responsable del Informacin deber aprobar el nivel de riesgo residual, a propuesta del responsable del servicio. El Responsable de Seguridad recomendar un marco de directrices bsicas para armonizar los criterios a seguir para la valoracin de riesgos.

3. La seleccin de las medidas de seguridad a adoptar ser propuesta por el personal de apoyo del Responsable de Seguridad en el rgano superior o directivo u organismo pblico correspondiente, y deber ser aprobada por el Responsable de Seguridad.

4. El proceso de gestin de riesgos seguir lo dispuesto en los anexos I y II del Real Decreto 3/2010, y deber revisarse y aprobarse, al menos bienalmente, por cada responsable de la informacin y cada responsable de los servicios.

Artculo 12. Desarrollo normativo de la Poltica de Seguridad de la Informacin.

Las normas sobre seguridad de la Informacin en la Administracin Electrnica del Departamento se clasificarn jerrquicamente en tres niveles, segn su mbito de aplicacin, nivel de detalle tcnico y obligatoriedad de cumplimiento, de manera que todas se basarn en otra, u otras, de nivel superior.

a) Primer nivel normativo: PSI. Est constituido por la presente orden de obligado cumplimiento.

b) Segundo nivel normativo: Normativa. Est constituido por la normativa de seguridad, en desarrollo de la PSI.

La normativa comprende los procedimientos y normas de seguridad de la informacin, de obligado cumplimiento, tras la aprobacin por el Comit de Seguridad de la Informacin.

c) Tercer nivel normativo: Procedimientos Tcnicos, en desarrollo del segundo nivel normativo, orientados a resolver las tareas, consideradas crticas por el perjuicio que causara una actuacin inadecuada, de seguridad, desarrollo, mantenimiento y explotacin de los sistemas de informacin. Estos procedimientos establecen las configuraciones mnimas de seguridad de los diferentes elementos de un sistema de informacin, guas y recomendaciones de uso o de otro tipo.

El desarrollo de estos procedimientos tcnicos de adaptacin de la normativa ser responsabilidad del personal de apoyo del Responsable de Seguridad en el rgano superior o directivo u organismo pblico correspondiente, y su aprobacin ser responsabilidad del Responsable de Seguridad.

Este marco documental estar a disposicin de todos los miembros del Ministerio que necesiten conocerlo, en particular para aquellos que utilicen, operen o administren los sistemas de informacin y comunicaciones.

Disposicin adicional primera. Deber de colaboracin de rganos y unidades del Departamento.

Todos los rganos y unidades del Departamento prestarn su colaboracin en la implementacin de la PSI aprobada por esta orden.

Disposicin adicional segunda. Publicidad de la PSI.

La presente orden se publicar en el Boletn Oficial del Estado y en la sede electrnica del Ministerio de Fomento.

Disposicin adicional tercera. No incremento del gasto pblico.

La aplicacin de esta orden no conllevar incremento del gasto pblico. Las medidas incluidas en la presente orden no supondrn incremento de dotaciones ni de retribuciones ni de otros gastos de personal.

Disposicin final nica. Entrada en vigor.

Esta orden entrar en vigor el da siguiente al de su publicacin en el Boletn Oficial del Estado.

Madrid, 20 de octubre de 2014.–La Ministra de Fomento, Ana Mara Pastor Julin.

Análisis

  • Rango: Orden
  • Fecha de disposición: 20/10/2014
  • Fecha de publicación: 30/10/2014
  • Entrada en vigor: 31 de octubre de 2014.
Referencias anteriores
Materias
  • Administracin electrnica
  • Comits consultivos
  • Ficheros con datos personales
  • Ministerio de Fomento
  • Normas de calidad
  • Redes de telecomunicacin
  • Seguridad informtica
  • Subsecretaras ministeriales

subir

Agencia Estatal Boletín Oficial del Estado

Avda. de Manoteras, 54 - 28050 Madrid