Agencia Estatal Boletín Oficial del Estado

Ministerio de la Presidencia Agencia Estatal Boletín Oficial del Estado

Está Vd. en

Documento BOE-A-2018-3990

Orden ECD/298/2018, de 12 de marzo, por la que se aprueba la Poltica de Seguridad de la Informacin en el mbito de la administracin electrnica del Ministerio de Educacin, Cultura y Deporte.

TEXTO

El marco de relacin entre la Administracin Pblica y los ciudadanos a travs de los medios electrnicos se encuentra establecido mediante la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Comn de las Administraciones Pblicas.

En lnea con el impulso hacia la digitalizacin de dicho marco, y con objeto de que las consolidadas relaciones digitales se popularicen, la Administracin debe ser confiable, para que los ciudadanos realicen los trmites administrativos con total seguridad y fiabilidad. Esta confianza en los sistemas de informacin debe extenderse a las garantas no solo sobre las comunicaciones sino tambin sobre el tratamiento y almacenamiento de la informacin.

Para ello, el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad, persigue fundamentar la confianza en que los sistemas de informacin prestarn sus servicios y custodiarn la informacin de acuerdo con sus especificaciones funcionales, sin interrupciones o modificaciones fuera de control, y sin que la informacin pueda llegar a conocimiento de personas no autorizadas.

La Poltica de Seguridad de la Informacin constituye el marco de referencia orientado a facilitar la definicin, gestin, administracin e implementacin de los mecanismos y procedimientos de seguridad establecidos en el Real Decreto 3/2010, de 8 de enero.

Del mismo modo, la Poltica de Seguridad de la Informacin debe ser coherente con lo establecido en el Reglamento UE/2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016.

Asimismo, cabe mencionar que esta orden se ajusta a los principios de buena regulacin contenidos en la Ley 39/2015, de 1 de octubre, principios de necesidad, eficacia, proporcionalidad, seguridad jurdica, transparencia y eficiencia, en tanto que la misma persigue un inters general al proporcionar la necesaria confianza en la relacin de los ciudadanos y la administracin a travs de medios electrnicos. Tambin cumple estrictamente el mandato establecido en el artculo 6.4 de la Ley, no existiendo ninguna alternativa regulatoria menos restrictiva de derechos, resulta coherente con el ordenamiento jurdico y permite as mismo una gestin ms eficiente de los recursos pblicos.

Esta orden se dicta en cumplimiento de lo requerido por el artculo 11 del Real Decreto 3/2010, de 8 de enero.

Esta orden ministerial ha sido informada por la Comisin Ministerial de Administracin Digital del Ministerio de Educacin, Cultura y Deporte y por la Agencia Espaola de Proteccin de Datos.

En su virtud, con la aprobacin previa del Ministro de Hacienda y Funcin Pblica, dispongo:

Artculo 1. Objeto y mbito de aplicacin.

1. Constituye el objeto de la presente orden la aprobacin de la Poltica de Seguridad de la Informacin (en adelante PSI) en el mbito de la administracin electrnica del Ministerio de Educacin, Cultura y Deporte, as como del marco organizativo y tecnolgico de la misma.

2. La PSI ser de obligado cumplimiento para todos los rganos superiores y directivos del Ministerio de Educacin, Cultura y Deporte, incluidos los rganos dependientes o adscritos al mismo que no tengan establecida su propia poltica de seguridad, siendo aplicable a todos los activos empleados por el Departamento.

3. Se podrn adherir a la presente PSI aquellos organismos pblicos dependientes o adscritos al Ministerio de Educacin, Cultura y Deporte que as lo soliciten.

4. La PSI ser de obligado cumplimiento para todo el personal que acceda tanto a los sistemas de informacin como a la propia informacin que sea gestionada por el Departamento, con independencia de cul sea su destino, adscripcin o relacin con el mismo.

Artculo 2. Misin del Departamento.

El Ministerio de Educacin, Cultura y Deporte es el Departamento de la Administracin General del Estado encargado de la propuesta y ejecucin de la poltica del Gobierno en materia educativa, de formacin profesional y de universidades, as como la promocin, proteccin y difusin del patrimonio histrico espaol, de los museos estatales y de las artes, del libro, la lectura y la creacin literaria, de las actividades cinematogrficas y audiovisuales y de los archivos y bibliotecas estatales, la promocin y difusin de la cultura en espaol, as como la propuesta y ejecucin de la poltica del Gobierno en materia de deporte. Asimismo, le corresponde a este Departamento el impulso de las acciones de cooperacin y, en coordinacin con el Ministerio de Asuntos Exteriores y de Cooperacin, de las relaciones internacionales en materia de educacin, cultura y deporte.

Artculo 3. Marco legal y regulatorio.

El marco normativo en que se desarrollan las actividades del Ministerio de Educacin, Cultura y Deporte en el mbito de la prestacin de los servicios electrnicos a los ciudadanos, sin perjuicio de la legislacin especfica, se compone de:

1. Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Comn de las Administraciones Pblicas.

2. Ley 40/2015, de 1 de octubre, de Rgimen Jurdico del Sector Pblico.

3. Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en al mbito de la Administracin Electrnica.

4. Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en al mbito de la Administracin Electrnica.

5. Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la proteccin de las personas fsicas en lo que respecta al tratamiento de datos personales y a la libre circulacin de estos datos.

6. Real Decreto 1553/2005, de 23 de diciembre, por el que se regula el documento nacional de identidad y sus certificados de firma electrnica.

7. Orden EDU/3607/2009, de 30 de diciembre, por la que se crea la Sede Electrnica en el Ministerio de Educacin.

8. Orden CUL/395/2010, de 17 de febrero, por la que se crea la Sede Electrnica del Ministerio de Cultura.

9. Resolucin de 19 de febrero de 2010, de la Presidencia del Consejo Superior de Deportes, por la que se crea la Sede Electrnica del Consejo Superior de Deportes.

10. Orden EDU/947/2010, de 13 de abril, por la que se crea y regula el Registro Electrnico del Ministerio de Educacin.

11. Orden CUL/3410/2009, de 14 de diciembre, por la que se regula el Registro Electrnico del Ministerio de Cultura.

12. Resolucin de 24 de junio de 2009, de la Presidencia del Consejo Superior de Deportes, por la que se crea el registro electrnico del Consejo Superior de Deportes.

13. Ley 9/2017, de 8 de noviembre, de Contratos del Sector Pblico, por la que se transponen al ordenamiento jurdico espaol las Directivas del Parlamento Europeo y del Consejo 2014/23/UE y 2014/24/UE, de 26 de febrero de 2014.

14. Texto refundido de la Ley de Propiedad Intelectual, aprobado por Real Decreto Legislativo 1/1996, de 12 de abril, y su normativa de desarrollo.

Del mismo modo, forman parte del marco regulatorio las normas aplicables a la Administracin Electrnica del Departamento que desarrollen o complementen las anteriores y que se encuentren dentro del mbito de aplicacin de la PSI.

Artculo 4. Principios de la seguridad de la informacin.

1. Principios bsicos.

Los principios bsicos son directrices fundamentales de seguridad que han de tenerse siempre presentes en cualquier actividad relacionada con el uso de los activos de informacin. Se establecen los siguientes:

a) Alcance estratgico: La seguridad de la informacin debe contar con el compromiso y apoyo de todos los niveles directivos de forma que pueda estar coordinada e integrada con el resto de iniciativas estratgicas del Departamento para conformar un todo coherente y eficaz.

b) Responsabilidad diferenciada: En los sistemas de informacin se diferenciar el responsable de la informacin, que determina los requisitos de seguridad de la informacin tratada; el responsable del servicio, que determina los requisitos de seguridad de los servicios prestados; el responsable del sistema, que tiene la responsabilidad sobre la prestacin de los servicios; y el responsable de seguridad, que determina las decisiones para satisfacer los requisitos de seguridad.

c) Seguridad integral: La seguridad se entender como un proceso integral constituido por todos los elementos tcnicos, humanos, materiales y organizativos, relacionados con el sistema, evitando, salvo casos de urgencia o necesidad, cualquier actuacin puntual o tratamiento coyuntural. La seguridad de la informacin debe considerarse como parte de la operativa habitual, estando presente y aplicndose desde el diseo inicial de los sistemas de informacin.

d) Gestin de Riesgos: De acuerdo a lo establecido en el artculo 24 del Reglamento (UE) 2016/679, as como en el artculo 6 del Esquema Nacional de Seguridad, el anlisis y gestin de riesgos ser parte esencial del proceso de seguridad. La gestin de riesgos permitir el mantenimiento de un entorno controlado, minimizando los riesgos hasta niveles aceptables. La reduccin de estos niveles se realizar mediante el despliegue de medidas de seguridad, que establecer un equilibrio entre la naturaleza de los datos y los tratamientos, el impacto y la probabilidad de los riesgos a los que estn expuestos y la eficacia y el coste de las medidas de seguridad.

e) Proporcionalidad: El establecimiento de medidas de proteccin, deteccin y recuperacin deber ser proporcional a los potenciales riesgos y a la criticidad y valor de la informacin y de los servicios afectados.

f) Mejora continua: Las medidas de seguridad se reevaluarn y actualizarn peridicamente para adecuar su eficacia a la constante evolucin de los riesgos y sistemas de proteccin. La seguridad de la informacin ser atendida, revisada y auditada por personal cualificado, instruido, dedicado y diferenciado.

g) Seguridad por defecto: Los sistemas deben disearse y configurarse de forma que garanticen un grado suficiente de seguridad por defecto.

2. Principios particulares y responsabilidades especficas.

Las directrices fundamentales de seguridad se concretan en un conjunto de principios particulares y responsabilidades especficas, que se configuran como objetivos instrumentales que garantizan el cumplimiento de los principios bsicos de la PSI y que inspiran las actuaciones del Departamento en dicha materia. Se establecen los siguientes:

a) Proteccin de datos de carcter personal: se adoptarn las medidas tcnicas y organizativas destinadas a garantizar una adecuada proteccin de los datos. Tal y como establece en el Reglamento (UE) 2016/679, dichas medidas, debern ser apropiadas en funcin del anlisis de riesgos mencionado en el apartado 4.1.d), as como de una evaluacin de impacto en la proteccin de datos cuando sea probable que un tratamiento, por su naturaleza, alcance, contexto o fines, entrae un alto riesgo para los derechos y libertades de las personas fsicas.

b) Gestin de activos de informacin: Los activos de informacin del Departamento se encontrarn inventariados y categorizados y estarn asociados a un responsable.

c) Seguridad ligada a las personas: se implantarn los mecanismos necesarios para que cualquier persona que acceda, o pueda acceder a los activos de informacin, conozca sus responsabilidades y de este modo se reduzca el riesgo derivado de un uso indebido de dichos activos.

d) Seguridad fsica: Los activos de informacin sern emplazados en reas seguras, protegidas por controles de acceso fsicos adecuados a su nivel de criticidad. Los sistemas y los activos de informacin que contienen dichas reas estarn suficientemente protegidos frente a amenazas fsicas o ambientales.

e) Seguridad en la gestin de comunicaciones y operaciones: se establecern los procedimientos necesarios para lograr una adecuada gestin de la seguridad, operacin y actualizacin de las Tecnologas de la Informacin y Comunicaciones. La informacin que se transmita a travs de redes de comunicaciones deber ser adecuadamente protegida, teniendo en cuenta su nivel de sensibilidad y de criticidad, mediante mecanismos que garanticen su seguridad.

f) Control de acceso: se limitar el acceso a los activos de informacin por parte de usuarios, procesos y otros sistemas de informacin mediante la implantacin de los mecanismos de identificacin, autenticacin y autorizacin acordes a la criticidad de cada activo. Adems, quedar registrada la utilizacin del sistema con objeto de asegurar la trazabilidad del acceso y auditar su uso adecuado, conforme a la actividad de la organizacin.

g) Adquisicin, desarrollo y mantenimiento de los sistemas de informacin: se contemplarn los aspectos de seguridad de la informacin en todas las fases del ciclo de vida de los sistemas de informacin, garantizando su seguridad por defecto.

h) Gestin de los incidentes de seguridad: se implantarn los mecanismos apropiados para la correcta identificacin, registro y resolucin de los incidentes de seguridad.

i) Gestin de la continuidad: se implantarn los mecanismos apropiados para asegurar la disponibilidad de los sistemas de informacin y mantener la continuidad de sus procesos de negocio, de acuerdo a las necesidades de nivel de servicio de sus usuarios.

j) Cumplimiento: se adoptarn las medidas tcnicas, organizativas y procedimentales necesarias para el cumplimiento de la normativa legal vigente en materia de seguridad de la informacin.

k) Derechos y deberes de los empleados pblicos: Los empleados pblicos que prestan servicio al departamento tienen el derecho y el deber de conocer y aplicar la presente PSI y todas las directrices generales, normas y procedimientos de seguridad de la informacin que puedan afectar a sus funciones, as como de participar en acciones de difusin y formacin orientadas a mejorar el estado de la seguridad de la informacin.

3. Aplicabilidad de los principios y requisitos mnimos marcados en el Esquema Nacional de Seguridad.

Sin perjuicio de lo establecido en los apartados 1 y 2 del presente artculo, la presente PSI se establecer asimismo en base a los principios bsicos y se desarrollar aplicando los requisitos mnimos contemplados en los artculos 4 y 11 del Real Decreto 3/2010, de 8 de enero.

Artculo 5. Estructura organizativa.

La estructura organizativa para la gestin de la seguridad de la informacin en el mbito descrito por la PSI del Ministerio de Educacin, Cultura y Deporte est compuesta por los siguientes agentes:

1. La Comisin Ministerial de Administracin Digital (en adelante CMAD).

2. El Responsable de Seguridad.

3. Los Responsables de la Informacin.

4. Los Responsables del Servicio.

5. Los Responsables del Sistema.

6. El Delegado de Proteccin de Datos.

Artculo 6. La Comisin Ministerial de Administracin Digital.

1. La CMAD es el rgano colegiado de mbito departamental responsable del impulso y coordinacin interna en materia de Administracin Digital.

2. El pleno de la CMAD ejercer las siguientes funciones, aparte de las que le son conferidas en su Orden Ministerial de creacin:

a) Elaborar las propuestas de modificacin y actualizacin permanente de la PSI.

b) Velar e impulsar el cumplimiento de la PSI y de su desarrollo normativo.

c) Promover la mejora continua en la gestin de la seguridad de la informacin.

d) Resolver los posibles conflictos que puedan derivarse del establecimiento de la citada estructura organizativa.

e) Ordenar la realizacin de las auditoras o autoevaluaciones de seguridad y recibir informacin de los resultados de las mismas.

f) Proveer los recursos y medios necesarios para asegurar la concienciacin y formacin en materia de seguridad de la informacin de todo el personal afectado por esta Orden.

g) Evaluacin y seguimiento las decisiones tomadas para satisfacer los requisitos de seguridad de la informacin y de los servicios.

h) Coordinar la comunicacin con el Centro Criptolgico Nacional en la utilizacin de servicios de respuesta a incidentes de seguridad.

i) Compartir experiencias de xito en materia de seguridad entre sus miembros para velar por el cumplimiento de la PSI y su normativa de desarrollo.

3. El pleno de la CMAD podr recabar de personal tcnico, propio o externo, la informacin pertinente para la toma de sus decisiones.

Artculo 7. El Responsable de Seguridad.

1. Conforme al artculo 10 del Esquema Nacional de Seguridad, el Responsable de Seguridad es quien determina las decisiones para satisfacer los requisitos de seguridad de la informacin y de los servicios.

2. Las funciones del Responsable de Seguridad se ejercern por el grupo tcnico de seguridad de la informacin, presidido y coordinado por el Subdirector General de Tecnologas de la Informacin y las Comunicaciones, y compuesto por un representante de cada uno de los organismos pblicos adscritos a la presente poltica de seguridad, en el mbito del Ministerio de Educacin, Cultura y Deporte.

3. Sern funciones del Responsable de Seguridad y, por tanto, de dicho grupo tcnico de seguridad de la informacin, las siguientes:

a) Mantener la seguridad de la informacin manejada y de los servicios electrnicos prestados por los sistemas de informacin.

b) Verificar que las medidas de seguridad son adecuadas para la proteccin de la informacin y los servicios.

c) Impulsar el cumplimiento del cuerpo normativo definido en el artculo 11, as como velar por el mantenimiento de la documentacin de seguridad y la gestin de mecanismos de acceso a la misma.

d) Mantener un inventario actualizado de las normas de primer y segundo nivel detalladas en el artculo 11, de los nombramientos derivados de la presente orden, as como de los informes de auditoras, autoevaluaciones y anlisis de riesgos realizados y de las declaraciones y certificaciones de seguridad.

e) Apoyar y supervisar la investigacin de los incidentes de seguridad desde su notificacin hasta su resolucin.

f) Elaborar informes peridicos de seguridad que incluyan los incidentes ms relevantes de cada perodo.

g) Promover la mejora continua en la gestin de la seguridad de la informacin.

h) Impulsar la formacin y concienciacin en materia de seguridad de la informacin.

i) Aprobar la declaracin de aplicabilidad, que comprende la relacin de medidas de seguridad seleccionadas para un sistema.

j) Realizar los preceptivos anlisis de riesgos y mantenerlos actualizados segn la legislacin vigente.

k) Promover auditoras peridicas para verificar el cumplimiento de las obligaciones en materia de seguridad de la informacin, y analizar los informes de auditora, elaborando las conclusiones a presentar a los Responsables del Servicio y los Responsables de la Informacin para que adopten las medidas correctoras adecuadas bajo su responsabilidad.

l) Cualesquiera otras funciones que el Real Decreto 3/2010, de 8 de enero, asigne a los responsables de seguridad.

4. Cuando la complejidad, distribucin, separacin fsica de sus elementos o nmero de usuarios de los sistemas de informacin lo justifiquen, el grupo tcnico de seguridad de la informacin podr designar los responsables de seguridad delegados que considere necesarios, que tendrn dependencia funcional directa de aqul y sern responsables en su mbito de todas aquellas acciones que les delegue el mismo.

5. Como apoyo del grupo tcnico de seguridad de la informacin para el cumplimiento de sus funciones, ste contar con un equipo de seguridad que aglutinar las tareas de prevencin de incidentes de seguridad, deteccin de anomalas, mecanismos de respuesta eficaz ante los mismos y actividades de recuperacin mediante el desarrollo de planes de continuidad de los sistemas de informacin para garantizar la disponibilidad de los servicios crticos:

a) A estos efectos, el equipo de seguridad realizar las auditoras peridicas de seguridad (prevencin), el seguimiento y control del estado de seguridad del sistema (deteccin), la respuesta eficaz a los incidentes de seguridad desde su notificacin hasta su resolucin (respuesta) y el desarrollo de los planes de continuidad de los sistemas de informacin (recuperacin).

b) La composicin del equipo de seguridad se determinar por el grupo tcnico de seguridad de la informacin, que tambin podr designar equipos de seguridad delegados para el apoyo en estas tareas de los responsables de seguridad delegados.

Artculo 8. Los Responsables de la Informacin y los Responsables del Servicio.

1. Los Responsables de la Informacin y los Responsables del Servicio tienen la potestad, dentro de su mbito de actuacin y de sus competencias, de establecer los requisitos, en materia de seguridad, de los servicios y de la informacin que manejan. A los efectos previstos en el Reglamento (UE) 2016/679, los Responsables de la Informacin tendrn asimismo la consideracin de encargados del tratamiento respecto de los datos personales contenidos en la informacin incluida en su mbito de actuacin. En particular, los Responsables de la Informacin debern mantener los registros de las actividades de tratamiento a los que se refiere el artculo 30 del citado Reglamento (UE) 2016/679.

2. Los rganos superiores o directivos del Ministerio de Educacin, Cultura y Deporte as como los organismos pblicos dependientes del Departamento a los que, conforme al artculo 1, les sea de aplicacin la presente PSI, designarn estos perfiles de acuerdo con su propia organizacin interna. Se comunicarn los nombramientos al Responsable de Seguridad, para que pueda mantener el inventario mencionado en el artculo 7.3.d.

Artculo 9. Los Responsables del Sistema.

1. El Responsable del Sistema es quien tiene la responsabilidad de desarrollar, operar y mantener el sistema de informacin durante todo su ciclo de vida.

2. En conformidad con la disposicin adicional sexta del Real Decreto 284/2017, de 24 de marzo, por el que se desarrolla la estructura orgnica bsica del Ministerio de Educacin, Cultura y Deporte, la Subdireccin General de Tecnologas de la Informacin y Comunicaciones actuar como responsable del sistema para todos aquellos activos de informacin que hayan sido sometidos a un proceso de consolidacin de recursos TIC. En el resto de casos, cada unidad u organismo pblico dependiente del Departamento a los que, conforme al artculo 1, les sea de aplicacin la presente PSI, designar este perfil de acuerdo con su propia organizacin interna. Se comunicarn los nombramientos al Responsable de Seguridad, para que pueda mantener el inventario mencionado en el artculo 7.3.d.

Artculo 10. El Delegado de Proteccin de Datos.

1. El Delegado de Proteccin de Datos ejerce las funciones detalladas en la Seccin 4 del Captulo IV del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la proteccin de las personas fsicas en lo que respecta al tratamiento de datos personales y a la libre circulacin de estos datos. Tendr en todo caso acceso al registro de las actividades de tratamientos de datos de carcter personal al que se refiere el artculo 30 del Reglamento (UE) 2016/679.

2. La designacin de los Delegados de Proteccin de Datos del Ministerio de Educacin, Cultura y Deporte y de los organismos adheridos a la presente PSI se efectuar conforme con el artculo 37 del Reglamento (UE) 2016/679. En consecuencia, sern designados atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la prctica en materia de proteccin de datos y a su capacidad para desempear las funciones que tiene encomendadas. Se comunicarn los nombramientos al Responsable de Seguridad, para que pueda mantener el inventario mencionado en el artculo 7.3.d.

Artculo 11. Estructura normativa.

1. El cuerpo normativo sobre seguridad de la informacin es de obligado cumplimiento y se podr estructurar como mximo en los siguientes niveles relacionados jerrquicamente:

a) Primer nivel normativo: PSI y directrices. Est constituido por la PSI y las directrices generales de seguridad aplicables a los rganos superiores o directivos del Ministerio de Educacin, Cultura y Deporte a los que, conforme al artculo 1, sea de aplicacin la presente PSI.

b) Segundo nivel normativo: Normativa y recomendaciones de seguridad. – Est constituido por la normativa y recomendaciones de seguridad que se definan en cada mbito organizativo de aplicacin especfico (rganos superiores y directivos, y organismos pblicos dependientes a los que sea de aplicacin la presente PSI, conforme al artculo 1). La normativa, que comprende los procedimientos, las normas y las instrucciones tcnicas de seguridad, es de obligado cumplimiento y se formalizar mediante instrucciones o resoluciones de los titulares de los rganos correspondientes, previa aprobacin del presidente del grupo tcnico de seguridad de la informacin, mientras que las recomendaciones consistirn en buenas prcticas y consejos no vinculantes para mejorar las condiciones de seguridad.

c) Tercer nivel normativo. Procedimientos tcnicos. Est constituido por el conjunto de procedimientos tcnicos orientados a resolver las tareas, consideradas crticas por el perjuicio que causara una actuacin inadecuada, de seguridad, desarrollo, mantenimiento y explotacin de los sistemas de informacin. Son recomendaciones o informaciones relativas a temas concretos de seguridad basadas en Instrucciones previas, que establecen las configuraciones mnimas de seguridad de los diferentes elementos de un sistema de informacin, recomendaciones de uso o de otro tipo. La responsabilidad de aprobacin de estos procedimientos tcnicos depender de su mbito de aplicacin, que podr ser en un mbito especfico o en un sistema de informacin determinado. Se consideran incluidas en este nivel normativo las guas CCN-STIC elaboradas por el Centro Criptolgico Nacional.

2. Adems de la normativa enunciada en el presente artculo, la estructura normativa podr disponer, a criterio de cada uno de los rganos u organismos adscritos a la presente PSI, y siempre dentro del mbito de sus competencias y responsabilidades, de otros documentos tales como: informes tcnicos, registros, evidencias, etc.

Artculo 12. Gestin de los riesgos.

1. La gestin de riesgos debe realizarse de manera continua sobre el sistema de informacin, conforme a los principios de gestin de la seguridad basada en los riesgos (artculo 6 Real Decreto 3/2010, de 8 de enero) y reevaluacin peridica (artculo 9 Real Decreto 3/2010, de 8 de enero), siendo el Responsable del Servicio el encargado de solicitar el preceptivo anlisis de riesgos y se proponga el tratamiento adecuado, calculando los riesgos residuales. El Responsable de Seguridad, tras la calificacin de la informacin y la determinacin del nivel de seguridad del sistema, obtendr la matriz de aplicabilidad y el conjunto de medidas para garantizar la confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad de la informacin y del servicio. Se realizar la evaluacin de riesgo, identificando los riesgos residuales y, en base a ellos, se determinar el Plan de Tratamiento de Riesgo, que le ser comunicado al Responsable de la Informacin y del Servicio.

2. El Responsable de Seguridad es el encargado de realizar dicho anlisis en tiempo y forma a peticin del Responsable del Servicio, as como de identificar carencias y debilidades y ponerlas en conocimiento de los Responsables de la Informacin y del Servicio.

3. Los Responsables de la Informacin y del Servicio son los propietarios de los riesgos sobre la informacin y sobre los servicios, respectivamente, siendo responsables de su seguimiento y control, sin perjuicio de la posibilidad de delegar esta tarea.

4. El proceso de gestin de riesgos, que comprende las fases de categorizacin de los sistemas, anlisis de riesgos y seleccin de medidas de seguridad a aplicar, que debern ser proporcionales a los riesgos y estar justificadas, deber revisarse y aprobarse cada ao por el titular del rgano o unidad administrativa o, en su caso, organismo autnomo, a travs de un Plan de Adecuacin al Esquema Nacional de Seguridad.

5. Las indicadas fases del proceso de gestin de riesgos se realizarn segn lo dispuesto en los anexos I y II del Real Decreto 3/2010, de 8 de enero y siguiendo las normas, instrucciones, guas CCN-STIC y recomendaciones para la aplicacin del mismo elaboradas por el Centro Criptolgico Nacional.

Artculo 13. Proteccin de datos de carcter personal.

Se aplicarn a los datos de carcter personal que sean objeto de tratamiento por parte del Ministerio de Educacin, Cultura y Deporte las medidas de seguridad apropiadas derivadas del anlisis de riesgos as como de la evaluacin de impacto relativa a la proteccin de datos, tal cual se detalla en Reglamento (UE) 2016/679. Adems, se aplicarn las medidas correspondientes al Anexo II del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el mbito de la Administracin Electrnica. En el caso de que el anlisis de riesgos determine medidas agravadas respecto a la normativa recogida en el Anexo II del Real Decreto 3/2010, dichas medidas derivadas del anlisis de riesgos sern las que se implementarn en la proteccin de datos de carcter personal.

Artculo 14. Formacin y concienciacin.

1. Se desarrollarn actividades formativas especficas orientadas a la concienciacin y formacin de los empleados pblicos del Departamento, as como a la difusin entre los mismos de la PSI y de su desarrollo normativo.

2. La CMAD y los Responsables de Seguridad se encargarn de promover las actividades de formacin y concienciacin en materia de seguridad, segn lo indicado en el artculo 6.2.f y en el artculo 7.3.h.

Artculo 15. Actualizacin permanente.

La presente orden deber mantenerse actualizada permanentemente para adecuarla al progreso de los servicios de Administracin Electrnica, a la evolucin tecnolgica y al desarrollo de la sociedad de la informacin, as como a los estndares internacionales de seguridad.

Disposicin adicional primera. Instrucciones de ejecucin.

La Subsecretara del Departamento podr dictar las instrucciones necesarias para el mejor cumplimiento de esta Orden.

Disposicin adicional segunda. No incremento del gasto pblico.

Las medidas descritas en esta orden no supondrn incremento del gasto, siendo atendidas con los medios materiales y humanos de que dispone el Ministerio de Educacin, Cultura y Deporte.

Disposicin adicional tercera. Deber de colaboracin en la implantacin de la PSI.

Todos los rganos y unidades del Departamento prestarn su colaboracin en las actuaciones de implementacin de la PSI aprobada por esta orden.

Disposicin final nica. Publicidad de la PSI y entrada en vigor.

1. La presente orden entrar en vigor el da siguiente al de su publicacin en el Boletn Oficial del Estado.

2. Esta orden se publicar en las sedes electrnicas del Ministerio de Educacin, Cultura y Deporte en cuyo mbito sea de aplicacin.

Madrid, 12 de marzo de 2018.–El Ministro de Educacin, Cultura y Deporte, igo Mndez de Vigo y Montojo.

Análisis

  • Rango: Orden
  • Fecha de disposición: 12/03/2018
  • Fecha de publicación: 21/03/2018
  • Entrada en vigor: 22 de marzo de 2018.
Referencias posteriores

Criterio de ordenación:

  • SE CORRIGEN errores, por Orden ECD/473/2018, de 24 de abril (Ref. BOE-A-2018-6208).
Referencias anteriores
  • DE CONFORMIDAD con el art. 11 del Real Decreto 3/2010, de 8 de enero (Ref. BOE-A-2010-1330).
Materias
  • Administracin electrnica
  • Comits consultivos
  • Ficheros con datos personales
  • Ministerio de Educacin, Cultura y Deporte
  • Normas de calidad
  • Redes de telecomunicacin
  • Riesgos

subir

Agencia Estatal Boletín Oficial del Estado

Avda. de Manoteras, 54 - 28050 Madrid