Agencia Estatal Boletín Oficial del Estado

Ministerio de la Presidencia Agencia Estatal Boletín Oficial del Estado

Está Vd. en

Documento BOE-A-2015-5937

Orden AAA/991/2015, de 21 de mayo, por la que se aprueba la poltica de seguridad de la informacin en el mbito de la Administracin Electrnica del Ministerio de Agricultura, Alimentacin y Medio Ambiente.

TEXTO

La Ley 11/2007, de 22 de junio, de acceso electrnico de los ciudadanos a los Servicios Pblicos, establece la relacin entre la Administracin Pblica y los ciudadanos a travs de la Administracin Electrnica, compuesta principalmente tanto por los sistemas de tecnologas de la informacin y comunicaciones como por el tratamiento y almacenamiento automatizado de la informacin que reside en los mismos, y determina, de acuerdo con su artculo 42, la aprobacin del Esquema Nacional de Seguridad (ENS).

En efecto, esta consagracin del derecho a comunicarse a travs de medios electrnicos comporta la correlativa obligacin de las Administraciones de atender a cuantas necesidades se adviertan para garantizar una aplicacin segura de estas tecnologas sobre la base de los mandatos constitucionales de promocin de las condiciones para que la libertad y la igualdad sean reales y efectivas y de remocin de los obstculos que impidan o dificulten su plenitud.

En su desarrollo, se aprobara el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el mbito de la Administracin Electrnica, que tiene por objeto el establecimiento de los principios y requisitos de una poltica de seguridad en la utilizacin de medios electrnicos que permita la adecuada proteccin de la informacin.

El artculo 11 del citado real decreto exige que todos los rganos superiores de las Administraciones pblicas debern disponer formalmente de su poltica de seguridad, que se aprobar por el titular del rgano superior correspondiente. Esta poltica de seguridad se establecer con base en los principios bsicos recogidos en el captulo II de la propia norma (seguridad integral, gestin de riesgos, prevencin, reaccin y recuperacin, lneas de defensa, reevaluacin peridica, y funcin diferenciada) y desarrollar una serie de requisitos mnimos consignados en el artculo 11.1.

En su virtud, con la aprobacin previa del Ministro de Hacienda y Administraciones Pblicas, dispongo.

Artculo 1. Objeto y mbito de aplicacin.

1. Constituye el objeto de la presente orden la aprobacin de la Poltica de Seguridad de la Informacin (PSI) en el mbito de la Administracin Electrnica del Ministerio de Agricultura, Alimentacin y Medio Ambiente.

2. La PSI ser de obligado cumplimiento para todos los rganos superiores y directivos del Ministerio de Agricultura, Alimentacin y Medio Ambiente, incluidos los organismos pblicos vinculados o dependientes del Departamento, que no tengan establecida su propia poltica de seguridad. En aquellos organismos que tengan su propia poltica de seguridad, prevalecer en caso de discrepancia la definida en esta orden ministerial.

3. La PSI ser de obligado cumplimiento para todo el personal que acceda tanto a los sistemas de informacin como a la propia informacin que sea gestionada por el Departamento, con independencia de cul sea su destino, adscripcin o relacin con el mismo.

Artculo 2. Principios de la seguridad de la informacin.

1. Principios bsicos.

Los principios bsicos son directrices fundamentales de seguridad que han de tenerse siempre presentes en cualquier actividad relacionada con el uso de los activos de informacin. Adems de los previstos en el artculo 4 Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el mbito de la Administracin Electrnica, se establecen los siguientes:

a) Alcance estratgico: la seguridad de la informacin cuenta con el compromiso y apoyo de todos los niveles directivos de forma que est coordinada e integrada con el resto de iniciativas estratgicas del Departamento para conformar un todo coherente y eficaz.

b) Proporcionalidad: el establecimiento de medidas de proteccin, deteccin y recuperacin deber ser proporcional a los potenciales riesgos y a la criticidad y valor de la informacin y de los servicios afectados.

c) Mejora continua: las medidas de seguridad se reevaluarn y actualizarn peridicamente para adecuar su eficacia a la constante evolucin de los riesgos y sistemas de proteccin. La seguridad de la informacin ser atendida, revisada y auditada por personal cualificado, instruido y dedicado.

d) Seguridad por defecto: los sistemas deben disearse y configurarse de forma que garanticen un grado suficiente de seguridad por defecto.

2. Principios particulares y responsabilidades especficas.

Las directrices fundamentales de seguridad se concretan en un conjunto de principios particulares y responsabilidades especficas, que se configuran como objetivos instrumentales que garantizan el cumplimiento de los principios bsicos de la PSI y que inspiran las actuaciones del Departamento en dicha materia. Se establecen los siguientes:

a) Gestin de activos de informacin: los activos de informacin del Departamento se encontrarn inventariados y categorizados y estarn asociados a un responsable.

b) Seguridad ligada a las personas: se implantarn los mecanismos necesarios para que cualquier persona que acceda o pueda acceder a los activos de informacin conozca sus responsabilidades y de este modo se reduzca el riesgo derivado de un uso indebido de dichos activos.

c) Seguridad fsica: los activos de informacin sern emplazados en reas seguras, protegidas por controles de acceso fsicos adecuados a su nivel de criticidad. Los sistemas y los activos de informacin que contienen dichas reas estarn suficientemente protegidos frente a amenazas fsicas o ambientales.

d) Seguridad en la gestin de comunicaciones y operaciones: se establecern los procedimientos necesarios para lograr una adecuada gestin de la seguridad, operacin y actualizacin de las tecnologas de la informacin y comunicaciones. La informacin que se transmita a travs de redes de comunicaciones deber ser adecuadamente protegida, teniendo en cuenta su nivel de sensibilidad y de criticidad, mediante mecanismos que garanticen su seguridad.

e) Control de acceso: se limitar el acceso a los activos de informacin por parte de usuarios, procesos y otros sistemas de informacin mediante la implantacin de los mecanismos de identificacin, autenticacin y autorizacin acordes a la criticidad de cada activo. Adems, quedar registrada la utilizacin del sistema con objeto de asegurar la trazabilidad del acceso y auditar su uso adecuado, conforme a la actividad de la organizacin.

f) Adquisicin, desarrollo y mantenimiento de los sistemas de informacin: se contemplarn los aspectos de seguridad de la informacin en todas las fases del ciclo de vida de los sistemas de informacin, garantizando su seguridad por defecto.

g) Gestin de los incidentes de seguridad: se implantarn los mecanismos apropiados para la correcta identificacin, registro y resolucin de los incidentes de seguridad.

h) Gestin de la continuidad: se implantarn los mecanismos apropiados para asegurar la disponibilidad de los sistemas de informacin y mantener la continuidad de sus procesos de negocio, de acuerdo a las necesidades de nivel de servicio de sus usuarios.

i) Gestin de riesgos: debe realizarse de manera continua sobre los sistemas de informacin y contemplar un anlisis de riesgos avanzado que evale los riesgos residuales y proponga tratamientos adecuados. Para la realizacin del anlisis de riesgos se tendrn en cuenta las recomendaciones publicadas para el mbito de la Administracin Pblica y en especial las guas elaboradas por el Centro Criptolgico Nacional.

j) Cumplimiento: se adoptarn las medidas tcnicas, organizativas y procedimentales necesarias para el cumplimiento de la normativa en materia de seguridad de la informacin.

Artculo 3. Estructura organizativa.

La estructura organizativa para la gestin de la seguridad de la informacin en el mbito descrito por la PSI del Ministerio de Agricultura, Alimentacin y Medio Ambiente est compuesta por los siguientes agentes:

1. El Comit de Direccin de Seguridad de la Informacin, con un Comit Tcnico.

2. Los Responsables de la Informacin.

3. Los Responsables del Servicio.

4. Los Responsables de Seguridad.

5. Los Responsables del Sistema.

Artculo 4. El Comit de Direccin de Seguridad de la Informacin.

1. Se crea el Comit de Direccin de Seguridad de la Informacin (CDSI), adscrito a la Subsecretara del Ministerio de Agricultura, Alimentacin y Medio Ambiente. ElCDSI estar compuesto por los siguientes miembros:

a) Presidente: El titular de la Subsecretara del Ministerio de Agricultura, Alimentacin y Medio Ambiente.

b) Vicepresidente: El titular de la Direccin General de Servicios del Ministerio de Agricultura, Alimentacin y Medio Ambiente.

c) Vocales, que debern ser de nivel 30 o asimilado:

1. Dos representantes de la Secretara de Estado de Medio Ambiente, nombrados por el titular de dicho rgano superior.

2. Dos representantes de la Subsecretara, nombrados por el titular de dicho rgano superior.

3. Un representante de la Secretara General de Agricultura y Alimentacin.

4. Un representante de la Secretara General de Pesca.

5. Un representante de la Agencia Estatal de Meteorologa (AEMET).

6. Un representante del Fondo Espaol de Garanta Agrario (FEGA).

7. Un representante del Organismo Autnomo Parques Nacionales (OAPN)

8. El titular de la Subdireccin General de Tecnologas de la Informacin y de las Comunicaciones, que actuar como Secretario, con voz y voto.

2. El CDSI ejercer las siguientes funciones:

a) Elaborar las propuestas de modificacin y actualizacin permanente que se hagan sobre la PSI.

b) Aprobar el resto de la normativa de seguridad de primer nivel definida en el artculo 9.

c) Velar e impulsar el cumplimiento de la PSI y de su desarrollo normativo.

d) Promover la mejora continua en la gestin de la seguridad de la informacin.

e) Aprobar el Plan de Auditora y el Plan de Formacin propuestos por el Responsable de Seguridad.

f) Resolver los posibles conflictos que puedan derivarse del establecimiento de la citada estructura organizativa.

3. El CDSI se reunir con carcter ordinario al menos una vez al ao, y con carcter extraordinario cuando lo decida su Presidente.

Sin perjuicio de la celebracin de dichas reuniones presenciales, de acuerdo con la autorizacin contenida en la disposicin adicional primera de la Ley 11/2007, de 22 de junio, de acceso electrnico de los ciudadanos a los Servicios Pblicos, se faculta al Comit para que lleve a cabo las funciones que tiene asignadas por medios electrnicos, mediante votacin por escrito y sin sesin presencial. En este caso, se remitir a todos sus miembros, por va electrnica y en un plazo mximo de siete das desde que reciba la peticin de informe, el punto o puntos del da a discutir y la documentacin correspondiente, dando un plazo mnimo de siete das y mximo de quince para que manifiesten por la misma va su posicin, voluntad u opinin.

En las actas que se levantaren para constancia de estas reuniones se incorporarn las comunicaciones que hayan tenido lugar, tanto para la convocatoria como para las deliberaciones y la adopcin de decisiones.

4. El CDSI podr recabar de personal tcnico, propio o externo, la informacin pertinente para la toma de sus decisiones.

5. Los acuerdos se adoptarn por mayora de los miembros. En caso de empate, el voto del presidente ser dirimente.

Artculo 5. Comit Tcnico de Seguridad de la Informacin.

1. Con carcter permanente se crea en el seno de la CDSI el Comit Tcnico de Seguridad de la Informacin (CTSI), competente para conocer las cuestiones tcnicas que deban de abordarse en relacin con la PSI y con el fin de asegurar la coordinacin en materia de seguridad de la informacin con el conjunto del Departamento y con otras instancias de la Administracin General del Estado.

2. El CTSI estar compuesto por los siguientes miembros:

a) Presidencia: el Subdirector General de Tecnologas de la Informacin y de las Comunicaciones.

b) Vicepresidencia: el Subdirector General Adjunto de Tecnologas de la Informacin y de las Comunicaciones.

c) Vocalas: Sern los Responsables de Seguridad definidos en el artculo 7.

d) Secretara: Un funcionario de al menos nivel 26, perteneciente a la Subdireccin General de Sistemas Informticos y Comunicaciones, tendr voz pero no voto.

3. El CTSI colaborar con el CDSI en las cuestiones que ste le encomiende y, de forma particular, le corresponder:

a) Elaborar estudios, anlisis previos y propuestas de modificacin y actualizacin de la PSI.

b) Elaborar estudios, anlisis previos y propuestas sobre la normativa de seguridad de segundo y tercer nivel definida en el artculo 9.

c) Analizar el cumplimiento de la PSI y de su desarrollo normativo.

d) Analizar las medidas de seguridad de la informacin y de los servicios electrnicos prestados por los sistemas de informacin.

e) Estudiar las actividades de concienciacin y formacin en materia de seguridad.

f) Coordinar la comunicacin con el Centro Criptolgico Nacional en la utilizacin de servicios de respuesta a incidentes de seguridad.

g) Seguimiento de las medidas resultado del Anlisis y gestin de riesgos de los activos.

4. El CTSI se reunir con carcter ordinario con una frecuencia mnima de dos veces al ao y con carcter extraordinario cuando lo decida el presidente del CDSI.

Sin perjuicio de la celebracin de dichas reuniones presenciales, de acuerdo con la autorizacin contenida en la disposicin adicional primera de la Ley 11/2007, de 22 de junio, de acceso electrnico de los ciudadanos a los servicios pblicos, se faculta al Comit para que lleve a cabo las funciones que tiene asignadas por medios electrnicos, mediante votacin por escrito y sin sesin presencial. En este caso, se remitir a todos sus miembros, por va electrnica y en un plazo mximo de siete das desde que reciba la peticin de informe, el punto o puntos del da a discutir y la documentacin correspondiente, dando un plazo mnimo de siete das y mximo de quince para que manifiesten por la misma va su posicin, voluntad u opinin.

En las actas que se levantaren para constancia de estas reuniones se incorporarn las comunicaciones que hayan tenido lugar, tanto para la convocatoria como para las deliberaciones y la adopcin de decisiones.

5. Los acuerdos se adoptarn por mayora de los miembros. En caso de empate, el voto del presidente ser dirimente.

Artculo 6. Los responsables de la informacin y los responsables del servicio.

1. Los responsables de la informacin y los responsables del servicio tienen la potestad, dentro de su mbito de actuacin y de sus competencias, de establecer los requisitos en materia de seguridad de la informacin que manejan y de los servicios que prestan. Si esta informacin incluye datos de carcter personal, adems debern tenerse en cuenta los requisitos derivados de la legislacin correspondiente sobre proteccin de datos.

2. Cada rgano superior o directivo del Ministerio de Agricultura, Alimentacin y Medio Ambiente as como cada organismo pblico dependiente del Departamento a los que, conforme al artculo 1, les sea de aplicacin la presente PSI, designar estos perfiles de acuerdo con su propia organizacin interna, sin que ello implique, en ningn caso, aumento de las dotaciones ni las retribuciones de dichos efectivos.

Artculo 7. Los responsables de seguridad.

1. Conforme al artculo 10 del Real Decreto 3/2010, de 8 de enero, el responsable de seguridad es la persona que determina las decisiones para satisfacer los requisitos de seguridad de la informacin y de los servicios. Cada rgano superior o directivo del Ministerio de Agricultura, Alimentacin y Medio Ambiente as como cada organismo pblico vinculado o dependiente del Departamento a los que sea de aplicacin la presente PSI designar un Responsable de Seguridad, sin que ello implique, en ningn caso, aumento de las dotaciones ni las retribuciones de dichos efectivos.

2. El mbito de actuacin de cada responsable de seguridad se limitar nica y exclusivamente a los sistemas de informacin y servicios de tecnologas de la informacin y de las comunicaciones que sean competencia y responsabilidad directa del centro al que pertenezca dicho responsable de seguridad.

3. Sern funciones de cada responsable de seguridad, dentro del mbito de actuacin enunciado en el punto anterior, las siguientes:

a) Promover la seguridad de la informacin manejada y de los servicios electrnicos prestados por los sistemas de informacin.

b) Elaborar la normativa de seguridad de segundo y tercer nivel definida en el artculo 9 y velar e impulsar su cumplimiento por parte de Responsables del Sistema del artculo 8 y de cualquier otro agente del sistema.

c) Encargarse de que la documentacin de seguridad se mantenga organizada y actualizada, y de gestionar los mecanismos de acceso a la misma.

d) Promover la mejora continua en la gestin de la seguridad de la informacin.

e) Impulsar la formacin y concienciacin en materia de seguridad de la informacin.

Artculo 8. Los responsables del sistema.

1. El responsable del sistema es la persona cuya responsabilidad es desarrollar, operar y mantener el sistema de informacin durante todo su ciclo de vida.

2. Cada rgano superior o directivo del Ministerio de Agricultura, Alimentacin y Medio Ambiente as como cada organismo pblico vinculado o dependiente del Departamento a los que, conforme al artculo 1, les sea de aplicacin la presente PSI, designar este perfil, sin que ello implique, en ningn caso, aumento de las dotaciones ni las retribuciones de dichos efectivos.

Artculo 9. Estructura de prescripciones sobre seguridad de la informacin.

1. El cuerpo de prescripciones obligatorias sobre seguridad de la informacin es de obligado cumplimiento y se estructura en los siguientes niveles relacionados jerrquicamente:

a) Primer nivel: constituido por la PSI y las directrices generales de seguridad aplicables a los rganos superiores o directivos del Ministerio de Agricultura, Alimentacin y Medio Ambiente a los que, conforme al artculo 1, sea de aplicacin la presente PSI.

b) Segundo nivel: constituido por las normas de seguridad desarrolladas por cada rgano superior o directivo del Ministerio de Agricultura, Alimentacin y Medio Ambiente as como por cada organismo pblico dependiente del Departamento a los que, conforme al artculo 1, les sea de aplicacin la presente PSI.

c) Tercer nivel: Procedimientos, guas e instrucciones tcnicas complementarias. Son documentos que, cumpliendo con lo expuesto en la PSI, determinan las acciones o tareas a realizar en el desempeo de un proceso.

2. Tanto el segundo como el tercer nivel debern:

a) Limitarse nica y exclusivamente al mbito especfico de las competencias de cada uno de dichos rganos u organismos adscritos a la presente PSI. Este mbito vendr determinado por los sistemas de informacin y servicios de tecnologas de la informacin y de las comunicaciones que sean prestados y gestionados directamente por dicho rgano u organismo.

b) Cumplir estrictamente con lo indicado en el ENS y con el primer y segundo nivel normativos enunciados en el presente artculo.

c) Ser aprobado dentro del mbito de cada uno de los citados rganos u organismos adscritos a la presente PSI.

3. Adems de los elementos de obligado cumplimiento enunciados en el apartado 1, se podr disponer, a criterio de cada uno de los rganos u organismos adscritos a la presente PSI, y siempre dentro del mbito de sus competencias y responsabilidades, de otros documentos tales como estndares de seguridad, buenas prcticas, informes tcnicos, etc.

4. El personal de cada uno de los rganos u organismos adscritos a la presente PSI tendr la obligacin de conocer y cumplir, adems de la presente PSI, todas las directrices generales, normas y procedimientos de seguridad de la informacin que puedan afectar a sus funciones.

Disposicin adicional primera. No incremento del gasto pblico.

Las medidas descritas en esta orden no supondrn incremento del gasto, siendo atendidas con los medios materiales y humanos de que dispone el Ministerio de Agricultura, Alimentacin y Medio Ambiente.

Asimismo, la asistencia a las reuniones no dar lugar a indemnizacin, remuneracin o pago de ninguna clase.

Disposicin adicional segunda. Deber de colaboracin en la implantacin de la PSI.

Todos los rganos y unidades del Departamento prestarn su colaboracin en las actuaciones de implementacin de la PSI aprobada por esta orden.

Disposicin adicional tercera. Normativa supletoria.

Los rganos previstos en esta orden se regirn, en todo lo dems, por lo previsto en la Ley 30/1992, de 26 de noviembre, de Rgimen Jurdico de las Administraciones Pblicas y del Procedimiento Administrativo Comn.

Disposicin final nica. Publicidad de la PSI y entrada en vigor.

1. La presente orden entrar en vigor el da siguiente al de su publicacin en el Boletn Oficial del Estado.

2. Esta orden se publicar en las sedes electrnicas del Ministerio de Agricultura, Alimentacin y Medio Ambiente en cuyo mbito sea de aplicacin.

Madrid, 21 de mayo de 2015.–La Ministra de Agricultura, Alimentacin y Medio Ambiente, Isabel Garca Tejerina.

Análisis

  • Rango: Orden
  • Fecha de disposición: 21/05/2015
  • Fecha de publicación: 29/05/2015
  • Entrada en vigor: 30 de mayo de 2015.
Referencias anteriores
Materias
  • Administracin electrnica
  • Comits consultivos
  • Ficheros con datos personales
  • Ministerio de Fomento
  • Normas de calidad
  • Redes de telecomunicacin
  • Seguridad informtica
  • Subsecretaras ministeriales

subir

Agencia Estatal Boletín Oficial del Estado

Avda. de Manoteras, 54 - 28050 Madrid