El Decreto 130/2012 establece el reparto de funciones y responsabilidades en materia de seguridad de la información.
La organización de la seguridad regulada en el presente decreto es aplicable a las Consellerias de la Generalitat, así como a sus entidades autónomas dependientes, a las que se refiere el artículo 5.1 del Texto Refundido de la Ley de Hacienda Pública de la Generalitat, exceptuando a la conselleria con competencias en sanidad y a la Agència Valenciana de Salut.
DECRETO 130/2012, DE 24 DE AGOSTO, DEL CONSELL, POR EL QUE SE ESTABLECE LA ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN DE LA GENERALITAT.
PREÁMBULO
La información constituye un activo de primer orden para la Generalitat desde el momento en que resulta esencial para la prestación de gran parte de sus servicios. Por otro lado, las tecnologías de la información y las comunicaciones se han hecho imprescindibles también y cada vez más para las administraciones públicas. Sin embargo, las indiscutibles mejoras que aportan al tratamiento de la información vienen acompañadas de nuevos riesgos y, por lo tanto, es necesario introducir medidas específicas para proteger tanto la información como los servicios que dependan de ella.
La seguridad de la información tiene como objetivo proteger la información y los servicios reduciendo los riesgos a los que están sometidos hasta un nivel que resulte aceptable. Dentro de cada organización sólo sus máximos directivos tienen las competencias necesarias para fijar dicho nivel, ordenar las actuaciones y habilitar los medios para llevarlas a cabo. En este sentido, establecer una política de seguridad de la información y hacer el subsiguiente reparto de tareas y responsabilidades son actuaciones prioritarias, puesto que son los dos instrumentos principales para el gobierno de la seguridad y constituyen el marco de referencia para todas las actuaciones posteriores.
El objeto de la presente disposición es establecer el marco organizativo de la seguridad de la información, complementando al Decreto 66/2012, de 27 de abril, del Consell, por el que se establece la política de seguridad de la información de la Generalitat, en el ámbito de la Administración de la Generalitat y de sus entidades autónomas, a excepción de la organización de seguridad que afecta a la conselleria con competencias en sanidad y a la Agència Valenciana de Salut ya que, dada la especialidad de la regulación de la información de que disponen, se ha considerado oportuno que su organización en materia de seguridad de la información se apruebe mediante un instrumento normativo específico.
La Ley Orgánica 15/1999, de 13 de diciembre , de Protección de Datos de Carácter Personal (en adelante, LOPD), tiene como objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas y especialmente de su honor e intimidad personal y familiar. Su artículo 9.1 dispone que el responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.
El Real Decreto 1720/2007, de 21 de diciembre , por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, establece las medidas de seguridad mínimas que deben aplicarse a los ficheros automatizados y no automatizados que contengan datos de carácter personal, entre las que se incluye el nombramiento de una serie de figuras con responsabilidades específicas.
La Ley 11/2007, de 22 de junio , de Acceso Electrónico de los Ciudadanos a los Servicios Públicos, tiene entre sus fines la creación de las condiciones de confianza en el uso de los medios electrónicos mediante el establecimiento de las medidas necesarias para la preservación de la integridad de los derechos fundamentales y, en especial, los relacionados con la intimidad y la protección de datos de carácter personal. En su disposición final octava esta Ley establece que corresponde al Gobierno y a las Comunidades Autónomas, en el ámbito de sus respectivas competencias, dictar las disposiciones necesarias para el desarrollo y aplicación de dicha Ley.
El Real Decreto 3/2010, de 8 de enero , por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, desarrolla la Ley 11/2007, de 22 de junio , y fija una serie de requisitos mínimos que deben concretarse en el correspondiente plan de adecuación. Entre tales requisitos están la aprobación formal de la política de seguridad y la organización de la seguridad.
En el ámbito autonómico los antecedentes normativos en esta materia se encuentran en el Decreto 96/1998, de 6 de julio, del Consell, por el que se regulan la organización de la función informática, la utilización de los sistemas de información y el Registro de Ficheros Informatizados en el ámbito de la Administración de la Generalitat, y en el Decreto 112/2008, de 25 de julio , del Consell, por el que se crea la Comisión Interdepartamental para la Modernización Tecnológica, la Calidad y la Sociedad del Conocimiento en la Comunitat Valenciana.
Por otra parte, es imprescindible citar también la Ley 3/2010, de 5 de mayo , de la Generalitat, de Administración Electrónica de la Comunitat Valenciana, que se promulgó al amparo del artículo 19.2 del Estatut dAutonomia de la Comunitat Valenciana, que reconoce el derecho de acceso de los valencianos a las nuevas tecnologías y a que la Generalitat desarrolle políticas activas que impulsen la formación, las infraestructuras y su utilización, así como el artículo 49.3.16.ª que establece que la Generalitat tiene la competencia exclusiva sobre el régimen de las nuevas tecnologías relacionadas con los servicios de información y del conocimiento. El artículo 37.4 de la Ley 3/2010 dispone que las administraciones públicas, en función de su capacidad y posibilidades, aprobarán, o adoptarán mediante los oportunos acuerdos y convenios, políticas de seguridad de la información para la aplicación efectiva de los principios señalados en los apartados anteriores, pudiendo promover la constitución o incorporación a los grupos y centros de seguridad a los que se refiere el artículo 35.6 de esta Ley.
La Ley 3/2005, de 15 de junio , de la Generalitat, de Archivos, tiene por objeto regular el Sistema Archivístico Valenciano y establecer los derechos y obligaciones relativas al patrimonio documental, y en su artículo 6.3 promueve que la preservación de los documentos electrónicos se realizará de forma que se garantice que los documentos permanecen completos, tanto en su contenido como en su estructura y su contexto; fiables, en cuanto puedan seguir dando fe del contenido; auténticos, en cuanto que originales que no han sufrido alteración en las eventuales migraciones; y accesibles, en cuanto a su localización y legibilidad.
El artículo 9 de esta Ley establece que el órgano directivo del Sistema Archivístico Valenciano tendrá competencia sobre la supervisión técnica de los proyectos de construcción y equipamiento de los archivos de la Comunitat Valenciana que formen parte del Sistema Archivístico Valenciano.
Por lo expuesto, en cumplimiento de lo dispuesto en la disposición final octava de la Ley 11/2007, de 22 de junio , de Acceso Electrónico de los Ciudadanos a los Servicios Públicos, y del artículo 37.4 de la Ley 3/2010, de 5 de mayo, de la Generalitat, de Administración Electrónica de la Comunitat Valenciana, a propuesta del conseller de Hacienda y Administración Pública, y previa deliberación del Consell, en la reunión del día 24 de agosto de 2012, DECRETO
CAPÍTULO I
Disposiciones preliminares
Artículo 1. Objeto
El objeto del presente decreto es establecer el reparto de funciones y responsabilidades en materia de seguridad de la información.
Artículo 2. Ámbito de aplicación
La organización de la seguridad regulada en el presente decreto es aplicable a las Consellerias de la Generalitat, así como a sus entidades autónomas dependientes, a las que se refiere el artículo 5.1 del Texto Refundido de la Ley de Hacienda Pública de la Generalitat, exceptuando a la conselleria con competencias en sanidad y a la Agència Valenciana de Salut.
Artículo 3. Principio general de actuación
La seguridad de la información depende de todas las personas que participan en su tratamiento y compromete a todas las que integran la organización. Todo el personal incluido en el ámbito de aplicación del presente decreto, que participe en el tratamiento de información, incluidos empleados, subcontratistas y terceros, se comprometen a dar un uso correcto a todos los activos que requieran para el desarrollo de sus funciones, a respetar las medidas de seguridad que se establezcan y a notificar lo antes posible a los responsables que corresponda de los eventos y puntos débiles de la seguridad de la información que detecte, de manera que puedan emprenderse las acciones oportunas.
Artículo 4. Definiciones
A los efectos previstos en este decreto, las definiciones, palabras, expresiones y términos han de ser entendidos en el sentido indicado en el glosario de términos incluido en el anexo.
CAPÍTULO II
Estructura organizativa
Artículo 5. Estructura
La estructura organizativa de la seguridad de la información agrupa a los agentes cuyas funciones y responsabilidades abarcan toda la Administración de la Generalitat y sus entidades autónomas, exceptuando a la conselleria con competencias en sanidad y a la Agència Valenciana de Salut.
Artículo 6. Organización de la seguridad de la información
1. Los agentes de la organización de la seguridad en la Generalitat desempeñan papeles principales en el gobierno, la gestión y la administración de la seguridad de la información. Su misión consiste en definir la estrategia corporativa en esa materia, trazar, dirigir y monitorizar los planes para hacerla efectiva, así como asesorar y prestar servicios.
2. La organización estará compuesta por:
a) Responsable de la Información.
B) Comité de Seguridad de la Información.
C) Responsable de los Ficheros de Datos de Carácter Personal.
D) Responsable del Servicio.
E) Responsable de Seguridad de la Información.
F) Responsable de Seguridad de los Ficheros de Datos de Carácter Personal.
G) Responsable del Sistema.
H) Administradores de la Seguridad del Sistema.
I) Administradores de la Seguridad de los Ficheros de Datos de Carácter Personal.
CAPÍTULO III
La organización de la seguridad de la información
Artículo 7. Responsable de la Información
1. El Responsable de la Información tiene la responsabilidad última del uso que se haga de una cierta información y, por tanto, de su protección.
Es responsable último de cualquier error o negligencia que lleve a un incidente de confidencialidad o integridad, y establece los requisitos de seguridad de la información.
2. Se designa Responsable de la Información a la Comisión Interdepartamental para la Modernización Tecnológica, la Calidad y la Sociedad del Conocimiento en la Comunitat Valenciana.
3. Las funciones principales son las siguientes:
a) Aprobar los niveles de seguridad requeridos por la información establecidos en el Esquema Nacional de Seguridad, informando al Responsable del Servicio.
b) Aprobar los principales riesgos residuales asumidos por la organización, junto al Responsable del Servicio.
c) Aprobar el código tipo para la adopción de buenas prácticas en la gestión de la información de carácter personal y en su protección.
d) Proponer mejoras sobre la política y la organización de la seguridad de la información de la Generalitat.
Artículo 8. Comité de Seguridad de la Información
1. El Comité de Seguridad de la Información coordina la seguridad de la información a nivel de la Administración de la Generalitat. La coordinación de la seguridad tiene la finalidad de racionalizar el gasto y de evitar disfunciones que permitan incidentes de seguridad debido a vulnerabilidades en los sistemas de información de la Generalitat.
2. El Comité estará compuesto por:
a) Presidencia: la persona titular de la Dirección General competente en materia de tecnologías de la información.
b) Vicepresidencia: la persona titular de la Subdirección General competente en materia de seguridad informática.
c) Vocales, que podrán delegar su representación en un funcionario de la Administración de la Generalitat, con el rango al menos de jefatura de servicio:
1.º. La persona titular de la Subsecretaría de la Conselleria competente en materia de tecnologías de la información.
2.º. La persona titular de la coordinación de la Abogacía de la Generalitat competente en materia de tecnologías de la información.
3.º. La persona titular de la subdirección general competente en materia de infraestructuras de tecnologías de la información.
4.º. La persona titular de la subdirección general competente en materia de sistemas de información de hacienda.
5.º. La persona titular de la subdirección general competente en materia de innovación tecnológica educativa.
6.º. La persona titular del órgano directivo del Sistema Archivístico Valenciano.
7.º. Los Responsables de Seguridad de los Ficheros de Datos de Carácter Personal.
8.º. El Responsable de Seguridad de los Ficheros de Datos de Carácter Personal de la conselleria con competencias en sanidad.
d) Secretaría: con voz y voto, la persona titular del Servicio competente en materia de seguridad informática, que ejecutará las decisiones del Comité de Seguridad de la Información, convocará sus reuniones y preparará los temas a tratar. En caso de ausencia, vacante o enfermedad, ejercerá sus funciones el vocal que designe el Comité de Seguridad de la Información.
3. Las funciones principales son las siguientes:
a) Atender los requisitos del Consell y de los diferentes departamentos, en materia de seguridad de la información.
b) Informar regularmente del estado de la seguridad de la información al Consell.
c) Promover la mejora continua del sistema de gestión de la seguridad de la información.
d) Aprobar la estrategia de evolución de la organización en lo que respecta a seguridad de la información, elaborada por el Responsable de Seguridad de la Información.
e) Coordinar los esfuerzos de las diferentes áreas en materia de seguridad de la información, para asegurar que los esfuerzos son consistentes, alineados con la estrategia decidida en la materia, y evitar duplicidades.
f) Elaborar y revisar regularmente la Política y Organización de la Seguridad de la Información para que sea aprobada por el Consell.
g) Proponer la aprobación de la normativa de seguridad de la información.
h) Elaborar y aprobar los requisitos de formación y calificación de administradores, operadores y usuarios, desde el punto de vista de seguridad de la información.
i) Monitorizar los principales riesgos residuales asumidos por la organización y recomendar posibles actuaciones respecto de ellos.
j) Monitorizar el desempeño de los procesos de gestión de incidentes de seguridad y recomendar posibles actuaciones respecto de ellos.
En particular, velar por la coordinación de las diferentes áreas de seguridad en la gestión de incidentes de seguridad de la información.
k) Promover la realización de las auditorías periódicas que permitan verificar el cumplimiento de las obligaciones del organismo en materia de seguridad.
l) Aprobar planes de mejora de la seguridad de la información de la organización. En particular, velará por la coordinación de diferentes planes que puedan realizarse en diferentes áreas.
m) Priorizar las actuaciones en materia de seguridad cuando los recursos sean limitados.
n) Velar porque la seguridad de la información se tenga en cuenta en todos los proyectos de tecnologías de la información desde su especificación inicial hasta su puesta en operación y posterior mantenimiento, así como en la preservación de la información que sea requerida tras el cese en la utilización del mismo. En particular, deberá velar por la creación y utilización de servicios horizontales que reduzcan duplicidades y apoyen un funcionamiento homogéneo de todos los sistemas de tecnologías de la información.
o) Resolver los conflictos de responsabilidad que puedan aparecer entre los diferentes responsables y/o entre diferentes áreas de la organización, elevando aquellos casos en los que no tenga suficiente autoridad para decidir.
4. El Comité de Seguridad de la Información ajustará su funcionamiento a las previsiones contenidas en el capítulo II de la Ley 30/1992, de 26 de noviembre , de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, relativo a los órganos colegiados.
5. El Comité de Seguridad de la Información se reunirá con carácter ordinario al menos una vez al año, y con carácter extraordinario cuando lo decida su Presidente.
6. El Comité de Seguridad de la Información podrá recabar de personal técnico, propio o externo, la información pertinente para la toma de sus decisiones. En caso necesario este personal podrá ser convocado por el Comité de Seguridad de la Información para su asistencia a las reuniones, en calidad de asesores, con voz pero sin voto.
Artículo 9. Responsable de los Ficheros de Datos de Carácter Personal
1. El Responsable de los Ficheros de Datos de Carácter Personal tiene la misión de velar, dentro de su ámbito de competencia, por el cumplimiento de la Ley Orgánica 15/1999, de 13 de diciembre , de Protección de Datos de Carácter Personal, así como del Reglamento de desarrollo de la misma aprobado por el Real Decreto 1720/2007, de 21 de diciembre .
Debe ejercer sus funciones de forma coordinada con el Responsable de Seguridad de la Información.
2. Se designa Responsable de los Ficheros de Datos de Carácter Personal de cada Conselleria o entidad autónoma dependiente, a la persona titular del órgano al que correspondan las funciones establecidas en el artículo 69 de la Ley del Consell en cada Conselleria y del órgano de carácter directivo que tenga atribuidas las competencias sobre los servicios comunes de cada entidad autónoma.
3. Las funciones principales son las siguientes:
a) Nombrar a los Administradores de Seguridad de los Ficheros de Datos de Carácter Personal que considere necesarios para auxiliarle, entre los funcionarios pertenecientes a su organización, delegando las funciones que estime oportunas con los límites que la normativa le permita.
b) Adecuar las actuaciones en esta materia al código tipo aprobado para la adopción de buenas prácticas en la gestión de la información de carácter personal.
Artículo 10. Responsable del Servicio
1. El Responsable del Servicio tiene la responsabilidad última del uso que se haga de determinados servicios y, por tanto, de su protección.
Es el responsable último de cualquier error o negligencia que lleve a un incidente de disponibilidad del servicio.
Establece los requisitos de seguridad de los servicios, generalmente a partir de la información que tratan y otros requisitos derivados del contexto interno y externo de la Administración de la Generalitat.
2. Se designa Responsable del Servicio a la persona titular del órgano al que correspondan las funciones establecidas en el artículo 73.2 de la Ley del Consell en cada Conselleria y del órgano de carácter directivo que tenga atribuidas las competencias sobre los servicios generales de cada entidad autónoma.
3. Las funciones principales son las siguientes:
a) Establecer los requisitos de los servicios en materia de seguridad, en el marco del anexo I del Esquema Nacional de Seguridad, equivale a la potestad de determinar los niveles de seguridad requeridos en cada dimensión del servicio.
b) Asegurar que la prestación de un servicio siempre deba atender a los requisitos de seguridad de la información que maneja, de forma que pueden heredarse los requisitos de seguridad de la misma, añadiendo requisitos de disponibilidad, así como otros como accesibilidad, interoperabilidad, etc.
Artículo 11. Responsable de Seguridad de la Información
1. El Responsable de Seguridad de la Información tiene la responsabilidad de velar por la seguridad de la información y de los servicios prestados por los sistemas de información, de acuerdo a lo establecido en la Política de Seguridad de la Información.
Es el responsable de la supervisión de la eficacia de las medidas de seguridad establecidas para proteger la información y los servicios prestados por los sistemas de información.
Asesora a otros responsables en la determinación de las medidas de seguridad necesarias a partir de los requisitos de seguridad establecidos por el contexto interno y externo de la organización.
2. Se designa Responsable de Seguridad de la Información a la persona titular del Servicio competente en materia de seguridad informática de la Dirección General con competencias en materia de tecnologías de la información.
3. Las funciones principales son las siguientes:
a) Proponer al Responsable de la Información los niveles de seguridad requeridos por la información, una vez consultado al Responsable del Sistema.
b) Proponer al Responsable del Servicio los niveles de seguridad requeridos por el servicio, una vez consultado al Responsable del Sistema.
c) Promover la formación y concienciación en materia de seguridad de la información dentro de su ámbito de responsabilidad.
d) Recopilar los requisitos de seguridad de los Responsables de Información y Servicio y determinar la categoría del sistema.
e) Realizar el análisis de riesgos.
f) Elaborar una declaración de aplicabilidad a partir de las medidas de seguridad requeridas conforme al anexo II del Esquema Nacional de Seguridad y del resultado del análisis de riesgos.
g) Elaborar y aprobar las directrices para considerar la seguridad de la información durante todo el ciclo de vida de los activos y procesos: especificación, arquitectura, desarrollo, operación y cambios.
h) Detectar los principales riesgos residuales asumidos por la organización, recomendar posibles actuaciones respecto de ellos e informar de los mismos al Responsable de Sistemas.
i) Elaborar, gestionar y evaluar el código tipo para la adopción de buenas prácticas en la gestión de la información de carácter personal y en su protección.
j) Definir medidas y controles establecidos en la normativa de protección de datos.
k) Elaborar la memoria anual sobre el estado de la seguridad de la información, con el progreso de los proyectos de los planes de mejora, resumen de las actuaciones en materia de seguridad, de los incidentes relativos a seguridad de la información, del estado de la seguridad del sistema, y en particular del nivel de riesgo residual al que está expuesto el sistema. l) Elaborar la revisión de la política y organización de la seguridad de la información.
m) Elaborar y revisar la normativa de seguridad de la información.
n) Elaborar y aprobar los procedimientos operativos de seguridad de la información.
o) Elaborar y aprobar guías de buenas prácticas de seguridad de la información.
p) Elaborar, junto al Responsable del Sistema, planes de mejora de la seguridad, para su aprobación por el Comité de Seguridad de la Información.
q) Validar los planes de continuidad de sistemas.
r) Elaborar los planes de formación y concienciación del personal en seguridad de la información, que deberán ser aprobados por el Comité de Seguridad de la Información.
s) Ser responsable en caso de ocurrencia de incidentes de seguridad de la información.
t) Analizar y proponer salvaguardas que prevengan incidentes similares en un futuro.
u) Velar por la seguridad y continuidad de las instalaciones, redes, sistemas y equipos físicos y de tecnología de la información sobre las que descansa el funcionamiento de los servicios esenciales.
4. A través del Centro de Seguridad en Tecnologías de la Información de la Comunitat Valenciana, realizará las siguientes funciones:
a) La gestión de incidentes de seguridad de la información a nivel corporativo.
b) Coordinar con el Centro de Capacidad de Respuesta ante Incidentes de Seguridad de la Información, del Centro Criptológico Nacional, los incidentes que puedan ocurrir dentro del ámbito de la administración pública.
c) Establecer relaciones con otros centros similares, tanto a nivel nacional como internacional, que permitan actuar en casos de amenazas o incidentes externos.
d) Monitorizar la presencia de información de la Generalitat en Internet, verificando que no suponga un riesgo.
e) Monitorizar la red corporativa para detectar amenazas de seguridad para sus activos.
f) Realizar auditorías técnicas sobre los recursos más expuestos y auditorías normativas que permitan cumplir con la legislación vigente.
g) Ser un centro de alerta temprana que notifique al responsable correspondiente de los incidentes o amenazas que requieran de su atención, facilitando la información detallada que permita resolver el problema.
h) Fomentar el uso de servicios preventivos de seguridad que permitan mitigar los incidentes futuros o reducir su impacto.
5. Delegación de funciones:
a) En determinados sistemas de información que, por su complejidad, distribución, separación física de sus elementos o números de usuarios, se necesite de personal adicional para llevar a cabo las funciones del Responsable de Seguridad de la Información, se podrán designar cuantos Responsables de Seguridad de la Información Delegados se consideren necesarios.
b) Se designará como responsables de Seguridad de la Información delegados a funcionarios, que serán nombrados, por resolución administrativa, a propuesta del Responsable de Seguridad de la Información.
La responsabilidad final sigue recayendo sobre el Responsable de Seguridad de la Información.
c) Los delegados se harán cargo, en su ámbito, de todas aquellas funciones que le sean delegadas por el Responsable de la Seguridad de la Información. Cada delegado tendrá una dependencia funcional directa del Responsable de la Seguridad de la Información, que es a quien informa.
Artículo 12. Responsable de Seguridad de los Ficheros de Datos de Carácter Personal
1. El Responsable de Seguridad de los Ficheros de Datos de Carácter Personal tiene la misión, dentro de su ámbito de competencia, de coordinar y controlar las medidas de seguridad aplicables sobre los ficheros de datos de carácter personal.
2. Se designa Responsable de Seguridad de los Ficheros de Datos de Carácter Personal de cada Conselleria o entidad autónoma dependiente, a la persona titular del órgano al que correspondan las funciones establecidas en el artículo 73.2 de la Ley del Consell en cada Conselleria y del órgano de carácter directivo que tenga atribuidas las competencias sobre los servicios generales de cada entidad autónoma.
3. Las funciones principales son las siguientes:
a) Coordinar y controlar las medidas de seguridad definidas en el documento de seguridad, aplicables a los ficheros automatizados y no automatizados, detalladas en los artículos 89 al 114 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD.
b) Informar al Responsable de los Ficheros de Datos de Carácter Personal de aquellos hechos relevantes relacionados con las medidas de seguridad definidas en el documento de seguridad, con la periodicidad y en respuesta a los eventos que se establezcan.
Artículo 13. Responsable del Sistema
1. El Responsable del Sistema tiene la misión de desarrollar, operar y mantener el sistema de información durante todo su ciclo de vida, de sus especificaciones, instalaciones y verificación de su correcto funcionamiento.
2. Se designa Responsable del Sistema a la persona titular de la Subdirección General competente en materia de infraestructuras de tecnologías de la información.
3. Las funciones principales son las siguientes:
a) Definir y mantener la infraestructura y sistema de gestión del sistema de información, estableciendo los criterios de uso y los servicios disponibles en el mismo.
b) Implantar las medidas para garantizar la seguridad informática de los sistemas de información.
c) Acordar la suspensión del manejo de una cierta información o la prestación de un cierto servicio, si es informado de deficiencias graves de seguridad que pudieran afectar a la satisfacción de los requisitos establecidos.
d) Aplicar los procedimientos operativos de seguridad elaborados y aprobados por el Responsable de Seguridad.
e) Monitorizar el estado de la seguridad de los sistemas de información, e informar periódicamente, ante incidentes de seguridad relevantes, al Responsable de Seguridad de la Información.
f) Elaborar los planes de continuidad del sistema, que serán aprobados por el Comité de Seguridad de la Información.
g) Realizar ejercicios y pruebas periódicas de los planes de continuidad del sistema para mantenerlos actualizados y verificar que son efectivos.
h) En el caso de ocurrir incidentes de seguridad de la información:
1.º. Planificar la implantación de las salvaguardas en el sistema.
2.º. Ejecutar el plan de seguridad aprobado.
i) Nombrar a los Administradores de la Seguridad del Sistema.
j) Implantar las medidas de seguridad definidas en el Documento de Seguridad, aplicables a los ficheros automatizados, detalladas en los artículos 93 al 104 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD.
4. Delegación de funciones:
a) En determinados sistemas de información que, por su complejidad, distribución, separación física de sus elementos o números de usuarios, se necesite de personal adicional para llevar a cabo las funciones del Responsable del Sistema podrá designar cuantos Responsables del Sistema Delegados considere necesarios.
b) Se designará como Responsables del Sistema Delegados a funcionarios, que serán nombrados, por resolución administrativa, a propuesta del Responsable del Sistema. La responsabilidad final sigue recayendo sobre el Responsable del Sistema.
c) Los delegados se harán cargo, en su ámbito, de todas aquellas funciones que delegue el Responsable del Sistema.
d) Cada delegado tendrá una dependencia funcional directa del Responsable del Sistema, que es a quien informa.
Artículo 14. Administradores de la Seguridad del Sistema
1. Los Administradores de la Seguridad del Sistema tienen la misión de la implementación, gestión y mantenimiento de las medidas de seguridad aplicables en el sistema de información.
2. Se designará como Administradores de la Seguridad del Sistema a funcionarios que serán nombrados, por resolución administrativa, a propuesta del Responsable del Sistema.
3. Las funciones principales son las siguientes:
a) Implementar, gestionar y mantener las medidas de seguridad aplicables al sistema de información.
b) Asegurar que los controles de seguridad establecidos son cumplidos estrictamente.
c) Aplicar a los sistemas, usuarios y otros activos y recursos relacionados con el mismo, tanto internos como externos, los procedimientos operativos de seguridad y los mecanismos y servicios de seguridad requeridos.
d) Asegurar que son aplicados los procedimientos aprobados para manejar los sistemas de información y los mecanismos y servicios de seguridad requeridos.
e) Aprobar los cambios en la configuración vigente del sistema de información, garantizando que sigan operativos los mecanismos y servicios de seguridad habilitados.
f) Informar a los responsables de la Seguridad y del Sistema de cualquier anomalía, compromiso o vulnerabilidad relacionada con la seguridad.
g) Monitorizar el estado de la seguridad del sistema.
3.1. En cuanto a la gestión de proyectos informáticos:
a) Implementar las directrices para considerar la seguridad de la información durante todo el ciclo de vida de los activos y procesos: especificación, arquitectura, desarrollo, operación y cambios.
b) En relación con el desarrollo de aplicaciones, asegurar que la trazabilidad, pistas de auditoría y otros registros de seguridad requeridos se encuentren habilitados y registren con la frecuencia deseada, de acuerdo con la política de seguridad establecida por la organización.
3.2. En cuanto a los puestos de trabajo:
a) Gestionar, configurar y actualizar los equipos y las aplicaciones en los que se basan los mecanismos y servicios de seguridad del sistema de información.
b) Supervisar las instalaciones de los equipos y las aplicaciones, sus modificaciones y mejoras para asegurar que la seguridad no está comprometida.
3.3. En el caso de ocurrir incidentes de seguridad de la información:
a) Llevar a cabo el registro, contabilidad y gestión de los incidentes de seguridad en los sistemas bajo su responsabilidad.
b) Ejecutar el plan de seguridad aprobado.
c) Aislar el incidente para evitar la propagación a elementos ajenos a la situación de riesgo.
d) Tomar decisiones a corto plazo si la información se ha visto comprometida de tal forma que pudiera tener consecuencias graves.
e) Asegurar la integridad de los elementos críticos del sistema si se ha visto afectada la disponibilidad de los mismos.
f) Mantener y recuperar la información almacenada por el sistema y sus servicios asociados.
g) Investigar el incidente: determinar el modo, los medios, los motivos y el origen del incidente.
Artículo 15. Administradores de la Seguridad de los Ficheros de Datos de Carácter Personal
1. Los Administradores de la Seguridad de los Ficheros de Datos de Carácter Personal tienen como misión la ejecución de una serie de tareas que, siendo responsabilidad del Responsable de los Ficheros de Datos de Carácter Personal, las tienen delegadas y así constan en el correspondiente documento de seguridad de protección de datos.
2. Se designará como Administradores de la Seguridad de los Ficheros de Datos de Carácter Personal a funcionarios, que serán nombrados, por resolución administrativa, por el Responsable de los Ficheros de Datos de Carácter Personal correspondiente.
3. Las funciones principales son las siguientes:
a) Mantener el documento de seguridad en todo momento actualizado y adecuado a las disposiciones vigentes.
b) Ejercer las funciones de control o autorizaciones.
c) Gestionar el ejercicio de los derechos de acceso, rectificación, cancelación y oposición.
d) Tramitar la publicación en el Diari Oficial de la Comunitat Valenciana de la oportuna disposición de creación del fichero. Así como la notificación de los ficheros de datos personales que se creen al Registro General Protección de Datos de la Agencia Española de Protección de Datos, y de igual manera sus modificaciones relevantes o su eliminación.
e) Coordinar la ejecución de los procedimientos de actuación definidos para garantizar el nivel de seguridad exigido.
f) Gestionar el registro de incidencias.
g) Gestionar la relación actualizada de usuarios y perfiles de usuarios, y los accesos autorizados para cada uno de ellos.
h) Gestionar el registro de entrada y salida de soportes y documentos, y de sus autorizaciones.
i) Implantar las medidas de seguridad definidas en el Documento de Seguridad, aplicables a los ficheros no automatizados, detalladas en los artículos 105 al 114 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD.
j) Cualquier otra obligación que le delegue el Responsable de los Ficheros de Datos de Carácter Personal.
DISPOSICIÓN DEROGATORIA Única. Derogación normativa
Queda derogado expresamente el capítulo III del título I (artículos 10 al 13), así como todas las referencias al Registro de Ficheros Informatizados, del Decreto 96/1998, de 6 de julio, del Consell, por el que se regulan la organización de la función informática, la utilización de los sistemas de información y el Registro de Ficheros Informatizados en el ámbito de la Administración de la Generalitat. Asimismo quedan derogadas todas aquellas disposiciones de igual o inferior rango que se opongan o contradigan a lo dispuesto en el presente decreto.
DISPOSICIONES FINALES
Primera. Nombramientos
Se habilita al órgano directivo con competencia en tecnologías de la información para los nombramientos previstos en este decreto, excepto el nombramiento de los Administradores de la Seguridad de los Ficheros de Datos de Carácter Personal.
Segunda. Entrada en vigor
El presente decreto entrará en vigor el día siguiente al de su publicación en el Diari Oficial de la Comunitat Valenciana.
ANEXO
Glosario de términos
ACTIVO: componente o funcionalidad de un sistema de información susceptible de ser atacado deliberada o accidentalmente con consecuencias para la organización. Incluye: información, datos, servicios, aplicaciones, equipos, comunicaciones, recursos administrativos, recursos físicos y recursos humanos.
ANÁLISIS DE RIESGOS: utilización sistemática de la información disponible para identificar peligros y estimar los riesgos.
AUDITORÍA DE LA SEGURIDAD: revisión y examen independientes de los registros y actividades del sistema para verificar la idoneidad de los controles del sistema, asegurar que se cumplen la política de seguridad y los procedimientos operativos establecidos, detectar las infracciones de la seguridad y recomendar modificaciones apropiadas de los controles, de la política y de los procedimientos.
CATEGORÍA DE UN SISTEMA: es un nivel, dentro de la escala Básica-Media-Alta, con el que se adjetiva un sistema a fin de seleccionar las medidas de seguridad necesarias para el mismo. La categoría del sistema recoge la visión holística del conjunto de activos como un todo armónico, orientado a la prestación de unos servicios.
CÓDIGO TIPO: código de buena práctica profesional en tratamiento de datos de carácter personal, donde se establecen las condiciones de organización, régimen de funcionamiento, procedimientos aplicables, normas de seguridad del entorno, programas o equipos, obligaciones de los implicados en el tratamiento, así como las garantías, en su ámbito, para el ejercicio de los derechos.
CONFIDENCIALIDAD: propiedad o característica consistente en que la información ni se pone a disposición, ni se revela a individuos, entidades o procesos no autorizados.
DATOS DE CARÁCTER PERSONAL: cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables.
DISPONIBILIDAD: propiedad o característica de los activos consistente en que las entidades o procesos autorizados tienen acceso a los mismos cuando lo requieren.
ENCARGADO DEL TRATAMIENTO: la persona física o jurídica, pública o privada, u órgano administrativo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento o del responsable del fichero, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio. Podrán ser también encargados del tratamiento los entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados.
FICHERO NO AUTOMATIZADO: todo conjunto de datos de carácter personal organizado de forma no automatizada y estructurado conforme a criterios específicos relativos a personas físicas, que permitan acceder sin esfuerzos desproporcionados a sus datos personales, ya sea aquél centralizado, descentralizado o repartido de forma funcional o geográfica.
GESTIÓN DE INCIDENTES: plan de acción para atender a las incidencias que ocurran. Además de resolverlas debe incorporar medidas de desempeño que permitan conocer la calidad del sistema de protección y detectar tendencias antes de que se conviertan en grandes problemas.
INCIDENCIA: cualquier anomalía que afecte o pudiera afectar a la seguridad de los datos.
INTEGRIDAD: Propiedad o característica consistente en que el activo de información no ha sido alterado de manera no autorizada.
MEDIDAS DE SEGURIDAD: conjunto de disposiciones encaminadas a protegerse de los riesgos posibles sobre el sistema de información, con el fin de asegurar sus objetivos de seguridad. Puede tratarse de medidas de prevención, de disuasión, de protección, de detección y reacción, o de recuperación.
POLÍTICA DE SEGURIDAD: conjunto de directrices plasmadas en documento escrito, que rigen la forma en que una organización gestiona y protege la información y los servicios que considera críticos.
RESPONSABLE DE SEGURIDAD: en el ámbito de la protección de datos de carácter personal, persona o personas a las que el responsable del fichero ha asignado formalmente la función de coordinar y controlar las medidas de seguridad aplicables.
RESPONSABLE DEL FICHERO O DEL TRATAMIENTO: persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que solo o conjuntamente con otros decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realizase materialmente. Podrán ser también responsables del fichero o del tratamiento los entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados.
RIESGO: estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños o perjuicios a la organización.
SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (SGSI): sistema de gestión que, basado en el estudio de los riesgos, se establece para crear, implementar, hacer funcionar, supervisar, revisar, mantener y mejorar la seguridad de la información. El sistema de gestión incluye la estructura organizativa, las políticas, las actividades de planificación, las responsabilidades, las prácticas, los procedimientos, los procesos y los recursos.
SISTEMA DE INFORMACIÓN: conjunto organizado de recursos para que la información se pueda recoger, almacenar, procesar o tratar, mantener, usar, compartir, distribuir, poner a disposición, presentar o transmitir.
TRAZABILIDAD: propiedad o característica consistente en que las actuaciones de una entidad pueden ser imputadas exclusivamente a dicha entidad.
VULNERABILIDAD: una debilidad que puede ser aprovechada por una amenaza.