Diario del Derecho. Edición de 17/11/2017
  • Diario del Derecho en formato RSS
  • ISSN 2254-1438
  • EDICIÓN DE 03/05/2012
 
 

Política de seguridad de la información de la Generalitat

03/05/2012
Compartir: 

Decreto 66/2012, de 27 de abril, del Consell, por el que se establece la política de seguridad de la información de la Generalitat (DOCV de 30 de abril de 2012). Texto completo.

El Decreto 66/2012 tiene por objeto definir y regular la política de seguridad de la información que se ha de aplicar en el tratamiento de la información situada bajo la responsabilidad de los distintos órganos de la administración de la Generalitat y sus entidades autónomas.

La política de seguridad regulada en él deberá aplicarse a toda la información bajo la responsabilidad de la administración de la Generalitat y sus entidades autónomas, así como al tratamiento del que pueda ser objeto. Esta consideración no se limita a los datos de carácter personal y es independiente de que el tratamiento sea manual o automatizado.

DECRETO 66/2012, DE 27 DE ABRIL, DEL CONSELL, POR EL QUE SE ESTABLECE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE LA GENERALITAT.

PREÁMBULO

La información constituye un activo de primer orden para la Generalitat, desde el momento en que resulta esencial para la prestación de gran parte de sus servicios. Por otro lado, las tecnologías de la información y las comunicaciones se han hecho imprescindibles también y cada vez más para las administraciones públicas. Sin embargo, las indiscutibles mejoras que aportan al tratamiento de la información vienen acompañadas de nuevos riesgos, y por lo tanto es necesario introducir medidas específicas para proteger tanto la información como los servicios que dependan de ella.

La seguridad de la información tiene como objetivo proteger la información y los servicios reduciendo los riesgos a los que están sometidos hasta un nivel que resulte aceptable. Dentro de cada organización sólo sus máximos directivos tienen las competencias necesarias para fijar dicho nivel, ordenar las actuaciones y habilitar los medios para llevarlas a cabo. En este sentido, establecer una política de seguridad de la información, y hacer el subsiguiente reparto de tareas y responsabilidades, son actuaciones prioritarias, puesto que son los dos instrumentos principales para el gobierno de la seguridad y constituyen el marco de referencia para todas las actuaciones posteriores. El presente decreto establece la política de seguridad de la información de la Generalitat, y se complementará con el desarrollo de la organización de la seguridad.

Con ambas disposiciones la Generalitat se dota de dos instrumentos eficaces para mejorar la seguridad de la información bajo su responsabilidad, sin limitarse a la que se refiere a datos personales o a la que interviene en procedimientos de administración electrónica.

El artículo 45 de la Ley de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, bajo la rúbrica Incorporación de medios técnicos, establece que las administraciones públicas impulsarán el empleo y aplicación de las técnicas y medios electrónicos, informáticos y telemáticos para el desarrollo de su actividad y el ejercicio de sus competencias.

La Ley Orgánica 15/1999, de 13 de diciembre Vínculo a legislación, de Protección de Datos de Carácter Personal, en su artículo 9.1 obliga a los responsables de los ficheros que contengan datos personales a “adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado”.

La Ley 11/2007, de 22 de junio Vínculo a legislación, de Acceso Electrónico de los Ciudadanos a los Servicios Públicos, en su parte expositiva, entre otros extremos, precisa que “los técnicos y los científicos han puesto en pie los instrumentos de esta sociedad, pero su generalización depende, en buena medida, del impulso que reciba de las administraciones públicas “, figurando entre sus fines el crear las condiciones de confianza en el uso de los medios electrónicos, estableciendo las medidas necesarias para la preservación de la integridad de los derechos fundamentales, y, en especial, los relacionados con la intimidad y la protección de datos de carácter personal por medio de la garantía de la seguridad de los sistemas, los datos, las comunicaciones y los servicios electrónicos. El Real Decreto 3/2010, de 8 de enero Vínculo a legislación, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la administración electrónica, tiene como finalidad la creación de las condiciones necesarias de confianza en el uso de los medios electrónicos.

El Esquema Nacional de Seguridad en el ámbito de la administración electrónica obliga a los órganos superiores de las administraciones públicas a dotarse formalmente de una política de seguridad, que deberá atenerse a los principios básicos y requisitos mínimos que se relacionan en los capítulos II y III del Real Decreto 3/2010, de 8 de enero Vínculo a legislación.

La disposición final octava de la Ley 11/2007, de 22 de junio Vínculo a legislación, establece que corresponde al Gobierno y a las comunidades autónomas, en el ámbito de sus respectivas competencias, dictar las disposiciones necesarias para el desarrollo y aplicación de la citada ley.

En el ámbito autonómico, los antecedentes normativos en esta materia se encuentran en el Decreto 96/1998, de 6 de julio, del Consell, por el que se regulan la organización de la función informática, la utilización de los sistemas de información y el registro de ficheros informatizados en el ámbito de la administración de la Generalitat, y en el Decreto 112/2008, de 25 de julio Vínculo a legislación, del Consell, por el que se creó la Comisión Interdepartamental para la Modernización Tecnológica, la Calidad y la Sociedad del Conocimiento en la Comunitat Valenciana.

Por otra parte, la Ley 3/2010, de 5 de mayo Vínculo a legislación, de la Generalitat, de Administración Electrónica de la Comunitat Valenciana, se promulgó al amparo del artículo 19.2 del Estatut d’Autonomia de la Comunitat Valenciana, que reconoce el derecho de acceso de los valencianos a las nuevas tecnologías y a que la Generalitat desarrolle políticas activas que impulsen la formación, las infraestructuras y su utilización, así como del artículo 49.3.16, que establece que la Generalitat tiene competencia exclusiva sobre el “régimen de las nuevas tecnologías relacionadas con la sociedad de la información y del conocimiento”.

El artículo 37.4 Vínculo a legislación de la Ley 3/2010, de 5 de mayo, de la Generalitat, dispone que “las administraciones públicas, en función de su capacidad y posibilidades, aprobarán, o adoptarán mediante los oportunos acuerdos y convenios, políticas de seguridad de la información para la aplicación efectiva de los principios señalados en los apartados anteriores, pudiendo promover la constitución o incorporación a los grupos y centros de seguridad a los que se refiere el artículo 35.6 de esta ley”.

Por lo expuesto, en cumplimiento de lo dispuesto en la disposición final octava de la Ley 11/2007, de 22 de junio Vínculo a legislación, de Acceso Electrónico de los Ciudadanos a los Servicios Públicos, y del artículo 37.4 Vínculo a legislación de la Ley 3/2010, de 5 de mayo, de la Generalitat, de Administración Electrónica de la Comunitat Valenciana, a propuesta del conseller de Hacienda y Administración Pública, conforme con el Consell Jurídic Consultiu de la Comunitat Valenciana y previa deliberación del Consell, en la reunión del día 27 de abril de 2012, DECRETO

CAPÍTULO I

Naturaleza y destinatarios

Artículo 1. Objeto

El presente decreto tiene por objeto definir y regular la política de seguridad de la información que se ha de aplicar en el tratamiento de la información situada bajo la responsabilidad de los distintos órganos de la administración de la Generalitat y sus entidades autónomas.

Artículo 2. Ámbito de aplicación

La política de seguridad regulada en el presente decreto deberá aplicarse a toda la información bajo la responsabilidad de la administración de la Generalitat y sus entidades autónomas, así como al tratamiento del que pueda ser objeto. Esta consideración no se limita a los datos de carácter personal y es independiente de que el tratamiento sea manual o automatizado.

CAPÍTULO II

Principios y obligaciones

Artículo 3. La seguridad como proceso integral

1. La seguridad de la información es el resultado de un proceso que depende de todos y cada uno de los elementos humanos, técnicos, materiales y organizativos que intervienen en el tratamiento. Quienes participen en cualquier fase del tratamiento deberán responder, en la medida de sus responsabilidades, de la seguridad y buen uso de la información.

De manera especial, deberán colaborar en la prevención, detección y control de los riesgos derivados de actuaciones negligentes, ignorancia de las normas, fallos técnicos, de organización o de coordinación, o instrucciones inadecuadas.

2. La Generalitat, a través de los distintos agentes con responsabilidades específicas en materia de seguridad de la información, se encargará de proporcionar los canales de participación adecuados que hagan efectiva la colaboración mencionada en el apartado anterior. Del mismo modo, la Generalitat se ocupará de mantener permanentemente informados, a todos los destinatarios de esta política, del propósito y contenido de la misma, así como de los documentos que la desarrollan y de los canales de participación habilitados.

3. El proceso de gestión de la seguridad de la información deberá estar sometido a monitorización, control y mejora continuos para confirmar su eficacia ante la constante evolución de los riesgos y de los sistemas de protección.

Artículo 4. Gestión de riesgos

1. El gobierno y la gestión de la seguridad de la información se guiarán por los resultados de los procesos de análisis y gestión de riesgos.

2. Los responsables de seguridad de la información elaborarán un informe anual sobre el estado de la seguridad, los riesgos previsibles y los planes de actuación recomendados. Estos informes se elevarán a los responsables de la información y, en su caso, a los responsables de tratamiento, quienes fijarán el nivel de riesgo aceptable y ordenarán las actuaciones oportunas.

3. La reducción de los niveles de riesgo se realizará mediante la aplicación de controles. La selección y aplicación de los controles ponderarán el valor de los activos con los niveles de riesgo y el coste de la seguridad.

4. Los controles deberán ser eficaces antes, durante o después de que ocurra un incidente de seguridad. Su objetivo es evitar que sucedan incidencias y controlar los daños si es que finalmente llegan a producirse.

5. El análisis y la gestión de riesgos deberán estar presentes en todas las fases del ciclo de vida de las aplicaciones y servicios relacionados con el tratamiento de la información, empezando por la del estudio de viabilidad.

6. La selección y aplicación de los controles de seguridad, así como la evaluación de su eficiencia, deberán tenerse en cuenta durante el diseño, construcción, contratación, adquisición, explotación, cierre, terminación, cancelación o enajenación de las aplicaciones y servicios mencionados.

7. Los órganos competentes de la Generalitat valorarán en las contrataciones aquellas empresas, productos y servicios que puedan acreditar un nivel de calidad o seguridad. El cumplimiento de un nivel mínimo determinado podrá ser un requisito imprescindible.

Artículo 5. Clasificación de la información

Los activos de información deberán estar inventariados y clasificados.

El nivel de protección y las medidas a aplicar se basarán en el resultado de dicha clasificación.

Artículo 6. Separación de funciones

La seguridad de la información exige un reparto de tareas y responsabilidades con una clara separación de funciones. En particular, se deberá mantener una clara distinción entre los tres siguientes papeles:

responsables de la información, responsables del servicio y responsables de seguridad, que serán definidos en el esquema organizativo.

Artículo 7. Planificación y coordinación

1. Los objetivos a medio plazo para la mejora de la seguridad de la información se explicitarán en los correspondientes planes estratégicos.

Estos planes contendrán una descripción de las líneas de actuación previstas, proyectos, indicadores de cumplimiento y de progreso, así como métricas para evaluar la efectividad. Estos planes se revisarán anualmente teniendo en cuenta los resultados de las auditorías y de las evaluaciones de riesgos. Los planes estratégicos, los informes de seguimiento y las revisiones anuales se someterán a la aprobación de los responsables de la información o de los responsables de tratamiento, según corresponda.

2. La coordinación entre todos los agentes de los que depende la seguridad de la información debe formar parte de todas las iniciativas y actuaciones. La Generalitat habilitará los medios técnicos necesarios para facilitar esa coordinación. Los responsables de seguridad actuarán de manera coordinada en la aplicación y control de las medidas de seguridad.

3. Las empresas de servicios, organizaciones y entidades con acceso a información situada bajo la responsabilidad de la Generalitat deberán nombrar un responsable de seguridad que actúe como interlocutor válido a los efectos de la coordinación en esa materia.

Artículo 8. Acceso a la información

1. Quienes traten información que no haya sido clasificada de acceso público deberán estar debidamente identificados y tener los privilegios de acceso a la información estrictamente imprescindibles para desempeñar su cometido.

2. Los responsables de la información deberán nombrar un responsable de acceso para cada activo de información, quien a su vez podrá nombrar delegados donde se realice tratamiento.

3. Cada intento de acceso deberá quedar registrado con el suficiente nivel de detalle. Los responsables de los accesos revisarán e informarán estos registros.

Artículo 9. Registro de actividad

Las actuaciones de las personas, en tanto que formen parte de determinado tratamiento de información, podrán ser registradas en cumplimiento de las exigencias legales de trazabilidad. También podrán serlo para monitorizar el cumplimiento de la presente política. En todo caso, el registro de tales actuaciones se realizará preservando los derechos de los afectados y respetando la normativa laboral aplicable.

Artículo 10. Confidencialidad y deber de secreto

Quienes por razón del ejercicio de sus funciones accedan a datos que no sean de acceso público deberán observar la necesaria reserva, confidencialidad y sigilo respecto a esos datos, incluso después de haber cesado en sus funciones o finalizado la relación contractual o laboral.

Artículo 11. Uso de instalaciones y equipamiento

1. La Generalitat dotará los puestos de trabajo con el equipamiento informático y de comunicaciones necesario para el desempeño de las funciones encomendadas. Dichos equipos no están destinados al uso personal.

2. El equipamiento mencionado en el apartado anterior no podrá utilizarse para actividades ilícitas o irregulares, o que afecten negativamente al funcionamiento de la Administración o sean contrarias a los intereses de ésta.

3. La instalación o utilización de elementos hardware o software ajenos a los que forman parte de la configuración del puesto de trabajo requerirán una autorización previa por parte del órgano competente en materia de tecnologías de la información que corresponda.

4. Las infraestructuras informáticas y de comunicaciones que no formen parte de los puestos de trabajo deberán ubicarse en áreas separadas, de acceso restringido y suficientemente protegidas de acuerdo con la naturaleza de la información y de los servicios en que intervengan.

Artículo 12. Características de los sistemas de información

1. Los sistemas de información proporcionarán la funcionalidad estrictamente necesaria para cumplir los propósitos declarados, y ninguna más.

2. El uso ordinario de los sistemas de información ha de ser sencillo y seguro, de forma que una utilización insegura requiera de un acto consciente por parte del usuario.

3. Las funciones de operación, administración, mantenimiento y registro de actividad serán las mínimas necesarias, deberán estar descritas y documentadas y sujetas a controles estrictos.

Artículo 13. Protección de la información almacenada y en tránsito

1. La Generalitat, a través de los distintos agentes con responsabilidades específicas en materia de seguridad de la información, establecerá las condiciones para la protección en el tratamiento de información fuera de sus locales y sistemas.

2. La Generalitat garantizará, del mismo modo que el apartado anterior, la conservación y recuperación de la información mientras perdure su vigencia.

3. La información en soporte no electrónico que haya sido causa o consecuencia directa de tratamiento automatizado de información deberá protegerse con el mismo grado de seguridad que ésta.

CAPÍTULO III

Desarrollo

Artículo 14. Desarrollo

1. La presente política se desarrollará en un conjunto de documentos cuyo objetivo es facilitar que el tratamiento de información se realice de acuerdo con los objetivos y principios expuestos en los artículos anteriores.

2. Los documentos mencionados en el punto anterior deberán abordar, al menos, los siguientes aspectos:

a) Condiciones para el acceso a la información.

b) Uso del equipamiento informático y de comunicaciones.

c) Gestión de incidentes y problemas.

d) Continuidad de operaciones.

e) Seguridad con terceros.

f) Clasificación y tratamiento de la información.

g) Análisis y gestión de riesgos.

h) Seguridad física y del personal.

i) Prevención de virus y código malicioso.

j) Ciclo de vida de los sistemas de información.

k) Mejora continua. Niveles de madurez.

l) Elaboración, publicación y revisión de la política de seguridad de la información y de los documentos complementarios.

3. Los documentos mencionados en el punto 1 estarán agrupados en tres colecciones: normas, procedimientos y guías de buenas prácticas.

4. Las normas proporcionarán un primer nivel de concreción; cada una de ellas estará dirigida a un tipo de actividad determinado. Los procedimientos describirán la secuencia concreta de pasos para completar una tarea. Las guías de buenas prácticas ofrecerán recomendaciones sobre cómo actuar en situaciones específicas.

Las normas y los procedimientos tendrán carácter obligatorio. Las posibles excepciones deberán justificarse.

CAPÍTULO IV

Difusión, actualización y obligaciones

Artículo 15. Publicidad, monitorización y revisión

1. La Generalitat dispondrá los medios para publicar, dar a conocer y facilitar el cumplimiento de esta política y de los documentos que la desarrollan, así como para verificar su aplicación y efectividad. Asimismo, habilitará canales de participación que permitan, a los destinatarios de esta política y de los documentos complementarios, participar en su revisión y mejora.

2. Los responsables de seguridad incluirán en sus memorias anuales un apartado sobre el grado de cumplimiento y eficacia de esta normativa y otro proponiendo acciones de mejora. Estas memorias se presentarán al responsable en materia de seguridad de la información que corresponda para que apruebe las actuaciones oportunas.

Artículo 16. Obligaciones del personal

1. La política de seguridad tiene carácter obligatorio para todo el personal al servicio de la Administración de la Generalitat y sus entidades autónomas, especialmente para quienes participen en el tratamiento de información o tengan acceso a los locales donde se custodie la información o se realice su tratamiento.

2. Las circunstancias expuestas en el párrafo anterior son independientes del tipo de relación jurídica o laboral que se mantenga con la administración de la Generalitat y sus entidades autónomas. Cuando el personal afectado por alguna de las condiciones indicadas esté contratado por una empresa de servicios o pertenezca a alguna entidad colaboradora, el cumplimiento de lo dispuesto en esta política se incluirá en los contratos o convenios que regulen dicha relación. Las subcontrataciones deberán contar con la autorización expresa del responsable de la información y en ningún caso eximirán del cumplimiento de esta política.

3. El incumplimiento de la política de seguridad expresada en este decreto podrá tener consecuencias disciplinarias, de acuerdo con el régimen sancionador aplicable en cada caso, sin perjuicio de otras responsabilidades en que se pudiera incurrir.

DISPOSICIONES ADICIONALES

Primera. Relaciones con terceros

Los contratos o convenios a los que se refiere el artículo 16.2 de la presente disposición que se suscriban a partir de la entrada en vigor de este decreto deberán incluir una cláusula de cumplimiento de esta política, junto con un procedimiento de verificación adecuado. Los contratos y convenios firmados con anterioridad a esa fecha serán objeto de revisión en el mismo sentido.

Segunda. Posibilidad de adhesión

El resto del sector público valenciano podrá aplicar esta política de seguridad cuando así lo establezcan sus normas internas de funcionamiento.

DISPOSICIÓN DEROGATORIA

Única. Derogación normativa

Queda derogada la Orden de 3 de diciembre de 1999, de la Conselleria de Justicia y Administración Pública, por la que se aprobó el Reglamento Técnico de Medidas de Seguridad para la Aprobación y Homologación de Aplicaciones y Medios de Tratamiento Automatizado de la Información, en todo lo que se oponga al presente decreto.

Quedan derogadas cuantas disposiciones de igual o inferior rango se opongan a lo dispuesto en el presente decreto.

DISPOSICIONES FINALES

Primera. Desarrollo

Se faculta al conseller o la consellera con competencias horizontales de la Generalitat en materia de tecnologías de la información y comunicación para dictar cuantas disposiciones exija la aplicación y ejecución de este decreto.

Se faculta al conseller o la consellera con competencias en materia de sanidad y salud pública para que desarrolle las disposiciones necesarias para establecer la organización de la seguridad de la información en su ámbito de competencia.

Segunda. Entrada en vigor

El presente decreto entrará en vigor el día siguiente al de su publicación en el Diari Oficial de la Comunitat Valenciana.

Comentarios

Escribir un comentario

Para poder opinar es necesario el registro. Si ya es usuario registrado, escriba su nombre de usuario y contraseña:

 

Si desea registrase en www.iustel.com y poder escribir un comentario, puede hacerlo a través el siguiente enlace: Registrarme en www.iustel.com.

  • Iustel no es responsable de los comentarios escritos por los usuarios.
  • No está permitido verter comentarios contrarios a las leyes españolas o injuriantes.
  • Reservado el derecho a eliminar los comentarios que consideremos fuera de tema.

Revista El Cronista:

Revista El Cronista del Estado Social y Democrático de Derecho

Lo más leído:

Secciones:

Boletines Oficiales:

 

© PORTALDERECHO 2001-2017

Icono de conformidad con el Nivel Doble-A, de las Directrices de Accesibilidad para el Contenido Web 1.0 del W3C-WAI: abre una nueva ventana