Agencia Estatal Boletín Oficial del Estado

Ministerio de la Presidencia Agencia Estatal Boletín Oficial del Estado

Está Vd. en

Documento BOE-A-2014-2378

Orden SSI/321/2014, de 26 de febrero, por la que se aprueba la poltica de seguridad de la informacin en el mbito de la administracin electrnica del Ministerio de Sanidad, Servicios Sociales e Igualdad.

TEXTO

El desarrollo de la Administracin Electrnica implica el tratamiento automatizado de grandes cantidades de informacin por los sistemas de tecnologas de la informacin y de las comunicaciones, que est sometida a diferentes tipos de amenazas y vulnerabilidades.

En el contexto de la Administracin Electrnica, se entiende por seguridad de la informacin la capacidad de las redes o de los sistemas de informacin para resistir, con un determinado nivel de confianza, los accidentes y acciones ilcitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad, confidencialidad y trazabilidad de los datos almacenados o transmitidos y de los servicios que dichas redes o sistemas ofrecen, o a travs de los cuales se realiza el acceso.

El Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el mbito de la Administracin Electrnica, persigue fundamentar la confianza en que los sistemas de informacin prestarn sus servicios y custodiarn la informacin de acuerdo con sus especificaciones funcionales, sin interrupciones o modificaciones fuera de control, y sin que la informacin pueda llegar a conocimiento de personas no autorizadas.

La Poltica de Seguridad de la Informacin del Ministerio de Sanidad, Servicios Sociales e Igualdad, de conformidad con lo dispuesto en el artculo 11 del Real Decreto 3/2010, de 8 de enero, da soporte a todas las exigencias del Esquema Nacional de Seguridad, as como a los requisitos derivados de la Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter Personal y su Reglamento de desarrollo, aprobado mediante el Real Decreto 1720/2007, de 21 de diciembre.

Dado que la seguridad de la informacin debe responder a mltiples requisitos y abarca todos los aspectos de una organizacin, es fundamental abordar su gestin utilizando un Sistema de Gestin de la Seguridad de la Informacin basado en el estndar UNE-ISO/IEC 27001. Las directrices para el establecimiento de un marco de control de la seguridad de la informacin que se incluyen en el Anexo se estructuran de acuerdo al estndar UNE-ISO/IEC 27002, para facilitar la implantacin del Sistema de Gestin y para utilizar una estructura con independencia de las diferentes legislaciones vigentes.

Esta norma ha sido sometida a informe previo de la Agencia Espaola de Proteccin de Datos.

En su virtud, con la aprobacin previa del Ministro de Hacienda y Administraciones Pblicas, dispongo:

Artculo 1. Objeto y mbito de aplicacin.

1. El objeto de esta orden es la aprobacin de la Poltica de Seguridad de la Informacin (en adelante, PSI) en el mbito de la Administracin Electrnica del Ministerio de Sanidad, Servicios Sociales e Igualdad, as como el establecimiento del marco organizativo y tecnolgico de la misma.

2. La PSI se aplicar a todos los sistemas de informacin utilizados por todos los rganos y unidades centrales y territoriales del Ministerio de Sanidad, Servicios Sociales e Igualdad y por los organismos pblicos que dependan del mismo. La PSI deber ser observada, igualmente, por todo el personal destinado en dichos rganos y unidades, as como por aquellas personas que, aunque no estn destinadas en los mismos, tengan acceso a sus sistemas de informacin.

Artculo 2. Misin del Departamento.

Corresponde al Ministerio de Sanidad, Servicios Sociales e Igualdad la poltica del Gobierno en materia de salud, de planificacin y asistencia sanitaria y de consumo, as como el ejercicio de las competencias de la Administracin General del Estado para asegurar a los ciudadanos el derecho a la proteccin de la salud.

Asimismo, le corresponde la propuesta y ejecucin de la poltica del Gobierno en materia de cohesin e inclusin social, de familia, de proteccin del menor y de atencin a las personas dependientes o con discapacidad.

Tambin le corresponden las polticas del Gobierno en materia de igualdad, lucha contra toda clase de discriminacin y contra la violencia de gnero.

Artculo 3. Marco normativo.

1. El marco normativo en que se desarrollan las actividades del Ministerio de Sanidad, Servicios Sociales e Igualdad comprende la legislacin sectorial reguladora de la actuacin de los rganos superiores y directivos del Departamento y de los organismos pblicos dependientes del mismo, as como la legislacin especfica en vigor sobre la administracin electrnica que se detalla a continuacin:

a) La legislacin sectorial reguladora de la actuacin de los rganos superiores y directivos del Ministerio de Sanidad, Servicios Sociales e Igualdad y de los organismos pblicos dependientes, as como el Real Decreto 200/2012, de 23 de enero, por el que se desarrolla la estructura orgnica bsica del Ministerio de Sanidad, Servicios Sociales e Igualdad y se modifica el Real Decreto 1887/2011, de 30 de diciembre, por el que se establece la estructura orgnica bsica de los departamentos ministeriales

b) Ley 11/2007, de 22 de junio, de acceso electrnico de los ciudadanos a los Servicios Pblicos.

c) Real Decreto 1671/2009, de 6 de noviembre, por el que se desarrolla parcialmente la Ley 11/2007, de 22 de junio, de acceso electrnico de los ciudadanos a los servicios pblicos.

d) Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el mbito de la Administracin Electrnica.

e) Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el mbito de la Administracin Electrnica.

f) Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter Personal.

g) Reglamento de desarrollo de la Ley Orgnica 15/1999, de 13 de diciembre, de proteccin de datos de carcter personal, aprobado por el Real Decreto 1720/2007, de 21 de diciembre.

h) Ley 59/2003, de 19 de diciembre, de firma electrnica.

i) Real Decreto 1553/2005, de 23 de diciembre, por el que se regula la expedicin del documento nacional de identidad y sus certificados de firma electrnica.

j) Orden SSI/2076/2013, de 28 de octubre, por la que se crea la sede electrnica del Ministerio de Sanidad, Servicios Sociales e Igualdad, as como las otras normas que hayan creado o puedan crear otras sedes electrnicas dentro del mbito de aplicacin de la PSI.

k) Orden SCO/2751/2006, de 31 de agosto, por la que se crea el Registro Telemtico del Ministerio de Sanidad y Consumo para la presentacin de escritos, solicitudes y comunicaciones y se establecen los requisitos generales para la tramitacin telemtica de determinados procedimientos, as como las otras normas que hayan creado o puedan crear otros registros electrnicos dentro del mbito de aplicacin de la PSI.

l) Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la informacin pblica y buen gobierno.

2. Tambin formarn parte de este marco normativo las restantes normas aplicables a la administracin electrnica del Ministerio de Sanidad, Servicios sociales e Igualdad derivadas de las anteriores y que se encuentren publicadas en las sedes electrnicas comprendidas dentro del mbito de la PSI.

Artculo 4. Estructura organizativa de la PSI.

La estructura organizativa de la gestin de la seguridad de la informacin en el mbito de la administracin electrnica del Ministerio de Sanidad, Servicios Sociales e Igualdad est compuesta por los siguientes agentes:

a) El Comit de Seguridad de la Informacin.

b) Los Responsables de Seguridad de la Informacin.

c) Los Responsables de la Informacin.

d) Los Responsables de los Servicios.

Artculo 5. El Comit de Seguridad de la Informacin.

1. Se crea el Comit de Seguridad de la Informacin (en adelante, Comit) como grupo de trabajo en el seno de la Comisin Ministerial de Informtica del Departamento.

2. El Comit estar compuesto por los siguientes miembros:

a) Presidente: la persona titular de la Subsecretara de Sanidad, Servicios Sociales e Igualdad.

b) Vicepresidente: la persona titular de la Subdireccin General de Tecnologas de la Informacin

c) Vocales: un representante, con rango mnimo de Subdirector General o asimilado, de cada uno de los siguientes rganos superiores y directivos del Departamento:

1. Secretara de Estado de Servicios Sociales e Igualdad.

2. Secretara General de Sanidad y Consumo.

3. Subsecretara de Sanidad, Servicios Sociales e Igualdad.

Adems sern vocales los Responsables de Seguridad de la Informacin del Instituto de Mayores y Servicios Sociales (IMSERSO), de la Organizacin Nacional de Trasplantes (ONT) y de los Centros de Ceuta y Melilla del Instituto Nacional de Gestin Sanitaria (INGESA).

d) Secretario: Con voz y sin voto, el Secretario del grupo tcnico del Responsable de Seguridad de la Informacin del Ministerio de Sanidad, Servicios Sociales e Igualdad, que ejecutar las decisiones del Comit, efectuar la convocatoria de sus reuniones y preparar los temas a tratar.

3. El Comit coordinar todas las actividades relacionadas con la seguridad de los sistemas de informacin y ejercer las siguientes funciones:

a) Elaborar las propuestas de modificacin y actualizacin permanente de la PSI del Ministerio de Sanidad, Servicios Sociales e Igualdad con carcter anual.

b) Elaborar las propuestas de modificaciones en la estructura organizativa de la PSI del Ministerio de Sanidad, Servicios Sociales e Igualdad.

c) Determinar los criterios para la aceptacin de riesgos y los niveles aceptables de riesgo para la organizacin.

d) Elaborar y aprobar la normativa de seguridad derivada de segundo nivel (normas de Seguridad de la Informacin) y el procedimiento de Anlisis de Riesgos.

e) Proveer los recursos y medios necesarios para asegurar la concienciacin y formacin en materia de seguridad de la informacin de todo el personal del Ministerio de Sanidad, Servicios Sociales e Igualdad.

f) Compartir experiencias en materia de seguridad entre sus miembros para velar por el cumplimiento de la PSI y su normativa de desarrollo.

g) Analizar los Informes de Revisin por Direccin anuales facilitados por cada Responsable de Seguridad, en los que cada uno de ellos informar del resultado del anlisis de riesgos, de las auditoras realizadas, del plan de proyectos y de las iniciativas y acciones de mejora de seguridad requeridas.

h) Revisar la informacin facilitada por los Responsables de Seguridad relativas a los incidentes de seguridad en el Ministerio de Sanidad, Servicios Sociales e Igualdad que as lo requieran.

i) Coordinar la actividad de los Responsables de Seguridad de cada dominio de seguridad para lograr una mayor eficacia.

j) Tomar todas aquellas decisiones que garanticen la seguridad de la informacin y servicios del Departamento.

4. El Comit se reunir, al menos, una vez al ao.

Artculo 6. El Responsable de Seguridad de la Informacin.

1. El Responsable de Seguridad de la Informacin (RSI) determina, en cada dominio de seguridad en el que resulta competente, las decisiones para satisfacer los requisitos de seguridad de la informacin y de los servicios.

Se entiende por dominio de seguridad el conjunto de infraestructuras de comunicaciones, equipamientos fsicos y lgicos y personas que sobre ellos operan, interrelacionados de tal modo que resulte ms eficiente gestionar la seguridad de la informacin manejada por los mismos de forma conjunta.

2. Se designarn los siguientes Responsables de Seguridad de la Informacin, segn el dominio de seguridad en el que resulten competentes:

a) RSI cuyo mbito de responsabilidad comprende la informacin y servicios afectados por los sistemas de informacin gestionados por el Ministerio de Sanidad, Servicios Sociales e Igualdad, as como los organismos pblicos dependientes de ste y que no se incluyan dentro del mbito de actuacin del resto de RSI. Corresponder al grupo tcnico al que se refiere el apartado 3 del presente artculo.

b) RSI del IMSERSO. La designacin corresponder al titular de su Direccin General entre alguno de los efectivos que en ese momento presten servicios en el IMSERSO.

c) RSI de la ONT. La designacin corresponder al titular de su Direccin General entre alguno de los efectivos que en ese momento presten servicios en la ONT.

d) RSI de los Centros de Ceuta y Melilla (Direcciones Territoriales, Gerencias de Atencin Especializada y Gerencias de Atencin Primaria). La designacin corresponder al titular de la Direccin del INGESA entre alguno de los efectivos que en ese momento presten servicios en el INGESA.

3. El grupo tcnico de seguridad de la informacin en el mbito departamental estar presidido y coordinado por el titular de la Subdireccin General de Tecnologas de la Informacin, y estar compuesto por los siguientes miembros:

a) El titular de la Subdireccin General de Recursos Humanos.

b) El titular de la Subdireccin General de Oficiala Mayor.

c) El titular de la Subdireccin General de Normativa.

d) El titular de la Subdireccin General de la Inspeccin General de Servicios.

e) Un representante por cada uno de los organismos pblicos, designados por los titulares de aquellos.

f) Un funcionario dependiente de la Subdireccin General de Tecnologas de la Informacin y designado por el titular de la misma, quien ejercer las funciones de Secretario y coordinar al Equipo de Seguridad de la Informacin.

4. Sern funciones del RSI las siguientes, en su dominio:

a) Impulsar y revisar un Sistema de Gestin de Seguridad de la Informacin (en adelante SGSI), de acuerdo al estndar UNE-ISO/IEC 27001, para el dominio de seguridad que le corresponda.

b) Coordinar la realizacin del Anlisis de Riesgos anual sobre los sistemas de informacin bajo su responsabilidad.

c) Aprobar la normativa de seguridad derivada de tercer nivel (procedimientos generales).

d) Coordinar y controlar el cumplimiento de las medidas de seguridad definidas en los documentos de seguridad correspondientes a todos los ficheros o tratamientos de datos de carcter personal existentes.

e) Mantener el marco documental relativo al sistema de gestin de la seguridad de la informacin actualizado.

f) Determinar los controles de la norma UNE-ISO/IEC 27002 necesarios para mitigar el riesgo resultante del Anlisis de Riesgos.

g) Elaborar el plan de proyectos anual y coordinar su ejecucin.

h) Operar los recursos facilitados por el Comit.

i) Mantener la seguridad de la informacin manejada y de los servicios electrnicos prestados por los sistemas de informacin.

j) Gestionar los incidentes de seguridad de la informacin que se produzcan, informando de los ms relevantes al Comit.

k) Realizar o promover auditoras peridicas para verificar el cumplimiento de las obligaciones en materia de seguridad de la informacin.

l) Designar el auditor interno de la seguridad de la informacin.

m) Elaborar el Informe de Revisin por Direccin anual.

n) Definir, revisar y ajustar los indicadores de eficacia necesarios para controlar el estado del SGSI.

o) Coordinar a los responsables de la informacin y a los de los servicios.

p) Informar sobre el estado de las principales variables de seguridad en los sistemas de informacin del dominio de seguridad correspondiente al Comit de Seguridad de la Informacin de las Administraciones Pblicas para la elaboracin de un perfil general del estado de seguridad de las mismas.

q) Coordinar la comunicacin con el Centro Criptolgico Nacional en la utilizacin de servicios de respuesta a incidentes de seguridad de la informacin.

Artculo 7. Equipo de Seguridad de la Informacin.

1. El Equipo de Seguridad de la Informacin se constituye como grupo de apoyo del RSI correspondiente para el cumplimiento de sus funciones.

2. A estos efectos, el Equipo de Seguridad de la Informacin realizar las auditoras peridicas de seguridad (prevencin), el seguimiento y control del estado de seguridad del sistema (deteccin), la respuesta eficaz a los incidentes de seguridad desde su notificacin hasta su resolucin (respuesta) y el desarrollo de los planes de continuidad de los sistemas de informacin (recuperacin).

3. El RSI correspondiente determinar la composicin del Equipo de Seguridad de la Informacin entre los efectivos que en ese momento presten servicios en el Departamento u organismo pblico dependiente de que se trate.

Artculo 8. El Responsable de la Informacin.

1. El Responsable de la Informacin es el titular del rgano o unidad que gestione cada procedimiento administrativo.

En los casos en que un sistema trate datos de carcter personal, el Responsable de la Informacin ser adems el responsable del fichero. Sus funciones vendrn determinadas por la legislacin aplicable sobre proteccin de datos de carcter personal.

2. El Responsable de la Informacin tiene encomendada la funcin de determinar los niveles de seguridad de la informacin dentro del marco establecido en el anexo I del Real Decreto 3/2010, de 8 de enero.

3. Ser adems responsable frente a cualquier error o negligencia dentro del procedimiento administrativo que gestione y que lleve a un incidente de confidencialidad o de integridad.

Artculo 9. El Responsable del Servicio.

1. El Responsable del Servicio es el titular del rgano o unidad que gestione cada servicio.

2. El Responsable del Servicio tiene encomendada la funcin de determinar los niveles de seguridad del servicio dentro del marco establecido en el anexo I del Real Decreto 3/2010, de 8 de enero.

Artculo 10. Resolucin de conflictos.

1. En caso de conflicto entre los diferentes responsables, ste ser resuelto por el superior jerrquico de los mismos. En su defecto, ser el Comit quien resuelva.

2. En la resolucin de estos conflictos, prevalecern las mayores exigencias derivadas de la proteccin de datos de carcter personal.

Artculo 11. Gestin de riesgos.

1. La gestin de riesgos debe realizarse de manera continua sobre el sistema de informacin, conforme a los principios de gestin de la seguridad basada en los riesgos, de conformidad con lo dispuesto en el artculo 6 del Real Decreto 3/2010, de 8 de enero, y en la reevaluacin peridica.

2. El RSI es el encargado de que el anlisis se realice en tiempo y forma, as como de identificar carencias y debilidades y ponerlas en conocimiento de los Responsables de la Informacin y del Servicio.

3. La gestin de riesgos, que comprende las fases de categorizacin de los sistemas, anlisis de riesgos y seleccin de medidas de seguridad a aplicar, que debern ser proporcionadas a los riesgos y estar justificadas, deber revisarse y aprobarse cada ao por el Responsable de Seguridad de la Informacin correspondiente al dominio de seguridad, recogindose en un Plan de Accin anual.

4. En particular, para realizar el anlisis de riesgos se utilizarn las herramientas PILAR o PILAR que facilitan el seguimiento de la aplicacin de las medidas de seguridad seleccionadas y proporcionan un valor de riesgo residual estabilizado y comparable entre diferentes sistemas de informacin.

Artculo 12. Desarrollo normativo.

1. El cuerpo normativo sobre seguridad de la informacin se desarrollar en cinco niveles con diferente mbito de aplicacin, nivel de detalle tcnico y obligatoriedad de cumplimiento, pero de manera que cada elemento normativo se fundamente en las normas de nivel superior.

Todos estos niveles prestarn especial atencin a las exigencias derivadas del Esquema Nacional de Seguridad, as como a la normativa aplicable en materia de proteccin de datos de carcter personal.

Los niveles de desarrollo normativo son los siguientes:

a) Primer nivel normativo: PSI. Est constituido por la presente orden, que en el anexo establece las directrices generales para la gestin de la seguridad de la informacin, fundamentada en la norma UNE-ISO/IEC 27002. Es de obligado cumplimiento en todo el Ministerio de Sanidad, Servicios Sociales e Igualdad, organismos pblicos y entidades colaboradoras con estos.

b) Segundo nivel normativo: Normas de seguridad. Son de obligado cumplimiento en todo el Ministerio de Sanidad, Servicios Sociales e Igualdad, en los elementos que apliquen a cada dominio de seguridad. Son las siguientes:

1. Clasificacin y tratamiento de la informacin.

2. Roles y responsabilidades de seguridad.

3. Seguridad fsica.

4. Gestin de operaciones.

5. Control de accesos.

6. Adquisicin y desarrollo de sistemas.

7. Gestin de incidentes de seguridad.

8. Continuidad de negocio.

9. Adecuacin a la legislacin vigente.

c) Tercer nivel normativo: Procedimientos generales. Describen las acciones a realizar en un proceso relacionado con la seguridad, responsabilidad de varias unidades organizativas, dentro de un mismo dominio de seguridad. Son dependientes de las normas.

d) Cuarto nivel normativo: Procedimientos especficos. Describen las acciones a realizar en un proceso relacionado con la seguridad, responsabilidad de una unidad organizativa, dentro de un mismo dominio de seguridad. Dependen de normas o de procedimientos generales.

e) Quinto nivel normativo: Informes, registros, evidencias electrnicas y plantillas. Los informes son documentos de carcter tcnico que recogen el resultado y las conclusiones de un estudio o de una evaluacin. Los registros de actividad o alertas de seguridad son documentos de carcter tcnico que recogen amenazas y vulnerabilidades a sistemas de informacin y son responsabilidad del equipo de seguridad. Las evidencias electrnicas se generan durante todo el ciclo de vida de los sistemas de informacin, pudiendo abarcar uno o ms sistemas en funcin del aspecto tratado.

2. El Comit establecer los mecanismos necesarios para compartir la documentacin derivada del desarrollo normativo con el propsito de normalizarlo, en la medida de lo posible, en todo el mbito de aplicacin de la PSI.

La siguiente tabla resume el marco normativo y la responsabilidad de su aprobacin.

Nivel normativo

Documento

Aprueba

Primero.

Poltica de Seguridad.

rgano superior competente.

Segundo.

Normas de Seguridad.

Comit de Seguridad de la Informacin.

Tercero.

Procedimientos generales.

Responsable de Seguridad de la Informacin.

Cuarto.

Procedimientos especficos.

Unidad implicada.

Quinto.

Informes, registros, evidencias y plantillas.

Equipo de Seguridad de la Informacin.

Artculo 13. Proteccin de datos de carcter personal.

1. Sern responsables de los ficheros que contengan datos de carcter personal las personas definidas en el artculo 8.1.

2. Los ficheros que contengan datos de carcter personal estarn referenciados en el correspondiente documento de seguridad previsto en el artculo 88 del Reglamento de desarrollo de la Ley Orgnica 15/1999, de 13 de diciembre.

3. Las medidas de seguridad requeridas por el Reglamento de desarrollo de la Ley Orgnica 15/1999, de 13 de diciembre, estarn incluidas en los diferentes niveles de desarrollo normativo previstos en el artculo 12.

Artculo 14. Formacin.

En el Ministerio de Sanidad, Servicios Sociales e Igualdad, se desarrollarn actividades especficas orientadas a la formacin de su personal en materia de seguridad de la informacin, as como a la difusin de la PSI y su desarrollo normativo.

A estos efectos, debern incluirse actividades formativas en esta materia dentro de los Planes de Formacin del Ministerio.

Disposicin adicional primera. Actualizacin permanente y revisiones peridicas de la PSI.

1. Esta orden deber mantenerse actualizada para adecuarla al progreso de los servicios de Administracin Electrnica, a la evolucin tecnolgica y al desarrollo de la sociedad de la informacin, as como a los estndares internacionales de seguridad.

2. Las propuestas de las sucesivas revisiones de la PSI las har el Comit.

Disposicin adicional segunda. No incremento del gasto pblico.

La aplicacin de esta orden no conllevar incremento de gasto pblico. Las medidas incluidas en la misma no supondrn, en ningn caso, incremento de dotaciones ni de retribuciones ni de otros gastos de personal.

Disposicin final primera. Deber de colaboracin de rganos y unidades del Departamento.

Todos los rganos y unidades del Departamento y de sus organismos pblicos prestarn su colaboracin en las actuaciones de implementacin de la PSI aprobada por esta orden.

Disposicin final segunda. Publicidad de la PSI.

Esta orden se publicar, adems de en el Boletn Oficial del Estado, en cada una de las sedes electrnicas del Ministerio de Sanidad, Servicios Sociales e Igualdad.

Disposicin final tercera. Entrada en vigor.

La presente orden entrar en vigor el da siguiente al de su publicacin en el Boletn Oficial del Estado.

Madrid, 26 de febrero de 2014.–La Ministra de Sanidad, Servicios Sociales e Igualdad, Ana Mato Adrover.

ANEXO
Directrices generales para el establecimiento de un marco de control de la seguridad de la informacin y para la determinacin de los objetivos de control de la seguridad necesarios, basados en el estndar internacional ISO/IEC 27002:2005

Gestin de los activos:

• Se deber conseguir y mantener un nivel apropiado de proteccin sobre los activos del Ministerio, prestando especial atencin a aquellos que contengan datos de carcter personal.

• Todos los activos de informacin tendrn un propietario, asignndole la responsabilidad del mantenimiento de los controles apropiados. La implantacin de los controles especficos puede ser delegada por el propietario segn considere pero la responsabilidad de la adecuada proteccin de los activos permanece en l.

• Toda la informacin deber ser inventariada y clasificada en funcin de unos niveles establecidos en base a su sensibilidad y criticidad.

• Se definirn normas de uso aceptable de los activos (correo electrnico, Internet, dispositivos mviles, documentacin en papel, etc.).

Seguridad relacionada con los recursos humanos:

• Se velar porque empleados, contratistas y terceras partes entiendan sus responsabilidades y estas sean adecuadas a sus roles asignados, con objeto de reducir el riesgo de hurto, fraude o mal uso de las instalaciones.

• Todo el personal con acceso a la informacin deber ser consciente de las amenazas a la seguridad de la informacin, siendo conocedor de sus responsabilidades y obligaciones (con especial atencin a las exigencias establecidas en la normativa en materia de proteccin de datos de carcter personal) y estando preparado para aplicar la poltica y normas de seguridad en el curso de su trabajo habitual.

• Se deber asegurar que todo proceso de salida de personal de la Organizacin (o cambio de puesto) se haga de una forma gestionada, realizndose las comunicaciones oportunas de forma temprana y controlando la devolucin de activos y la retirada de los derechos de acceso otorgados.

Seguridad fsica y del entorno:

• La informacin y los sistemas que la soportan, se ubicarn en reas seguras adecuadamente protegidas de amenazas fsicas o ambientales, sean estas intencionadas o accidentales. La proteccin suministrada deber ser siempre proporcional al riesgo y funcin de la criticidad de la informacin, con especial atencin a la seguridad de los datos de carcter personal. Ser necesario establecer las suficientes garantas fsicas de seguridad, a fin de reducir los riesgos de daos o prdidas de datos.

• Las instalaciones de procesamiento de la informacin y la informacin deben ser protegidas contra la divulgacin, modificacin o robo de la informacin, as como de accesos fsicos no autorizados, debindose implementar controles para minimizar prdidas o daos.

• Existir un plan de emergencia y evacuacin del edificio para el caso de amenazas fsicas o ambientales, cuyo objetivo primordial sea la proteccin de las personas.

Gestin de comunicaciones y operaciones:

• Se debe asegurar el funcionamiento correcto y seguro de los recursos de tratamiento de la informacin, estableciendo las responsabilidades y los procedimientos para la gestin y operacin de todos los recursos de informacin, incluyendo la documentacin de los mismos.

• Se implantar una segregacin de tareas donde sea apropiado, para reducir el riesgo de negligencia o uso incorrecto e intencionado

• Se implementar y velar por el mantenimiento de un nivel apropiado de seguridad de la informacin y de niveles de servicio en lnea con los acuerdos firmados con terceras partes.

• Se comprobar el cumplimiento y conformidad con los acuerdos, gestionando los cambios necesarios para asegurar que los servicios entregados son conformes con todos los requisitos acordados con la tercera parte.

• Con objeto de minimizar el riesgo de fallos en los sistemas, se realizarn estudios para futuros requerimientos de capacidad, a fin de reducir los riesgos de sobrecarga de los sistemas y garantizar la disponibilidad de capacidad. Se debern establecer, documentar y probar previamente a su aceptacin y uso los requisitos operacionales de los sistemas nuevos.

• Existirn mecanismos adecuados para el control de software malicioso, prestando especial atencin a la concienciacin de los usuarios acerca de los peligros del software no autorizado y malicioso.

• Se crearn los procedimientos necesarios para garantizar la integridad y disponibilidad de la informacin y los recursos de tratamiento de la informacin. Se establecern procedimientos rutinarios de copias de seguridad de datos y de verificacin de la posible restauracin mediante las copias.

• La gestin de seguridad de las redes que atraviesan el permetro del Ministerio requerir la implantacin de controles y medidas adicionales para proteger los datos sensibles que circulan por las redes pblicas.

• Los medios de almacenamiento de informacin sern controlados y protegidos fsicamente estableciendo procedimientos operativos apropiados para prevenir la revelacin, modificacin, eliminacin o destruccin no autorizada.

• Se controlar el intercambio de informacin y software entre organizaciones, siendo consecuentes con la legislacin aplicable. Asimismo, existirn procedimientos que garanticen la proteccin de la informacin y los medios en trnsito.

• La integridad de la informacin almacenada en sistemas accesibles pblicamente estar protegida para prevenir su integridad y disponibilidad.

Control de acceso:

• Los procedimientos para el control de acceso a los sistemas de informacin debern cubrir todas las etapas del ciclo de vida de los accesos de un usuario, prestando una concreta atencin al acceso a sistemas de informacin que contengan datos de carcter personal. El acceso no autorizado a los sistemas y servicios de informacin deber ser evitado, implementando controles apropiados para la gestin de los derechos de usuario basndose en una poltica de control de acceso.

• Se concienciar a los usuarios acerca de sus responsabilidades en el mantenimiento de las medidas de control de acceso, particularmente en el uso de credenciales y en la seguridad de su equipamiento habitual.

• El acceso a la informacin y los recursos de tratamiento sern otorgados sobre la base de los requisitos mnimos indispensables de accesos de los usuarios para el desempeo de sus funciones.

• Los accesos a la informacin debern ser monitorizados, a fin de comprobar la eficacia de los controles adoptados y detectar las desviaciones respecto de la poltica de control de accesos.

• Deber garantizarse la seguridad de la informacin en el uso de dispositivos mviles e instalaciones de trabajo remotas. La proteccin requerida ser proporcional al riesgo que implique la modalidad de trabajo.

Adquisicin, desarrollo y mantenimiento de sistemas de informacin:

• Se deber garantizar que la seguridad sea una parte integral de los sistemas de informacin. Para ello, los requisitos de seguridad sern identificados, justificados, acordados y documentados durante la fase de requisitos de los proyectos, considerndose as desde las primeras etapas del ciclo de vida de los sistemas.

• Se deber garantizar el procesamiento correcto de las aplicaciones, evitando errores, prdidas, modificaciones no autorizadas o mal uso de la informacin en las aplicaciones, introduciendo controles de validacin de datos, pistas de auditora y los registros de actividad necesarios.

• Cuando una informacin sea crtica, se proteger mediante el uso de medios criptogrficos, amparndose en una poltica interna de uso de este tipo de controles que regule su uso.

• Se controlarn estrictamente los entornos de los proyectos y el soporte a los mismos. Los propietarios de los sistemas de aplicacin tambin sern responsables de la seguridad de los mismos, garantizando que todos los cambios propuestos sean revisados, a fin de comprobar que los mismos no comprometen la seguridad del sistema.

• Se velar por la seguridad de los ficheros de sistema y cdigo fuente de las aplicaciones, evitando el acceso y modificacin no autorizado.

• Se implementarn mecanismos para reducir el riesgo resultante de la probabilidad de explotacin de vulnerabilidades tcnicas, manteniendo la seguridad de las aplicaciones y programas.

• La seguridad de los sistemas de informacin garantizar en todo caso el pleno respeto a las garantas determinadas por la normativa en materia de datos de carcter personal.

Gestin de incidencias de seguridad de la informacin:

• Se dispondrn los medios para garantizar que los eventos que afecten a la seguridad de la informacin y las debilidades asociadas a los sistemas (especialmente en aquellos supuestos que afecten a datos de carcter personal) sean comunicados de forma tal que las acciones correctivas correspondientes sean aplicadas de manera oportuna y adecuada.

• Debern existir procedimientos formales de comunicacin y escalado de incidentes. Todos los trabajadores, contratistas y terceros debern conocer los procedimientos establecidos y estarn obligados a comunicarlos al contacto designado.

• Debern existir responsabilidades y procedimientos para tratar dichos incidentes, aplicndose un proceso de mejora continua a la reaccin, supervisin, evaluacin y la gestin general de los mismos. Cuando sean necesarias pruebas, stas debern recopilarse para garantizar el cumplimiento de los requisitos legales.

Gestin de la continuidad del negocio:

• Deber implementarse un proceso de gestin de la continuidad del negocio para asegurar la proteccin de los servicios crticos del Ministerio, con especial atencin a aquellos que afecten a datos de carcter personal, as como su recuperacin en el tiempo requerido tras un desastre o fallo importante de los sistemas de informacin.

• La continuidad de las actividades crticas del Ministerio estar respaldada por la existencia de un grupo de gestin de crisis, con la suficiente capacidad de decisin, y unos adecuados controles preventivos y de recuperacin a fin de reducir los fallos de los sistemas a un nivel aceptable.

• La gestin de la continuidad del negocio deber incluir, adems del proceso general de evaluacin de riesgos, controles para identificar y reducir los riesgos, limitar las consecuencias de incidentes dainos y garantizar que la informacin necesaria para los servicios est disponible.

• Los planes de continuidad del negocio debern probarse y actualizarse peridicamente para garantizar que estn al da y que son efectivos.

Conformidad:

• Se debern evitar quebrantamientos de las leyes o incumplimientos de cualquier obligacin legal, reglamentaria, contractual o de cualquier requisito de seguridad en relacin con el diseo, operacin, uso y administracin de la informacin y los sistemas de tratamiento. Se observar especialmente la normativa aplicable en materia de proteccin de datos de carcter personal.

• Con el fin de conseguir la conformidad de los sistemas con las polticas y normas de seguridad del Ministerio, se realizarn revisiones regulares y auditoras de los sistemas de informacin, basndose en las polticas de seguridad apropiadas, para ver el grado de implantacin y cumplimiento, con especial respeto a la normativa aplicable en materia de proteccin de datos de carcter personal.

Análisis

  • Rango: Orden
  • Fecha de disposición: 26/02/2014
  • Fecha de publicación: 05/03/2014
  • Entrada en vigor: 6 de marzo de 2014.
Referencias anteriores
Materias
  • Administracin electrnica
  • Comits consultivos
  • Ficheros con datos personales
  • Ministerio de Sanidad, Servicios Sociales e Igualdad
  • Normas de calidad
  • Redes de telecomunicacin
  • Seguridad informtica
  • Subsecretaras ministeriales

subir

Agencia Estatal Boletín Oficial del Estado

Avda. de Manoteras, 54 - 28050 Madrid