Thomson Reuters
 
 
Asesoría & Empresa, tu portal de actualidad
Buscar
 
 
 
 
 
Legislación
 
 
Compartir por email
Imprimir
 
 
DECRETO 40/2014, DE 3 DE OCTUBRE, POR EL QUE SE APRUEBA LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE LA ADMINISTRACIÓN DE LA COMUNIDAD AUTÓNOMA DE LA RIOJA (BOR 125 DE 8)

La información, desde hace años, es definida como el activo más valioso de una organización, porque es esencial para la prestación y gestión de su actividad y servicios. Por consiguiente, debe ser protegida y administrada de forma inteligente y responsable.

La necesidad de proteger la información adquiere aun más fuerza en el momento actual, cuando el uso de las tecnologías de la información y de la comunicación es intensa por parte de las administraciones públicas, que además impulsan su uso a través de las normas que regulan el funcionamiento de su actividad, y cuando los riesgos y las amenazas son grandes.

Además la Política de Seguridad de la Información que se aprueba obedece a la exigencia del cumplimiento de diferentes normas legales y reglamentarias en materia de Seguridad de la Información, como el artículo 42 de la Ley 11/2007, de 22 de junio ( RCL 2007, 1222 y 1293) , de acceso electrónico de los ciudadanos a los servicios públicos, desarrollado por el Real Decreto 3/2010, de 8 de enero ( RCL 2010, 158 y 695) , por el que se regula el Esquema Nacional de Seguridad en el ámbito de la administración electrónica, cuyo objeto es el establecimiento de los principios básicos y requisitos mínimos de una política de seguridad en la utilización de medios electrónicos que permita la adecuada protección de la información y la creación de las condiciones necesarias de confianza en su uso.

El Esquema Nacional de Seguridad en el ámbito de la administración electrónica obliga a los órganos superiores de las administraciones públicas a dotarse formalmente de una política de seguridad, que deberá atenerse a los principios básicos y requisitos mínimos que se relacionan en los capítulos II y III del Real Decreto 3/2010, de 8 de enero.

Así mismo la Ley Orgánica 15/1999, de 13 de diciembre ( RCL 1999, 3058 ) , de Protección de Datos de Carácter Personal, en su artículo 9.1 obliga a los responsables de los ficheros que contengan datos personales a «adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado».

La disposición final octava de la Ley 11/2007, de 22 de junio, establece que corresponde al Gobierno y a las comunidades autónomas, en el ámbito de sus respectivas competencias, dictar las disposiciones necesarias para el desarrollo y aplicación de la citada Ley.

Recientemente la Orden 3/2014, de 9 de enero, de la Consejería de Administración Pública y Hacienda, creó y reguló el Comité de Seguridad de la Información del Gobierno de La Rioja.

En su virtud, a propuesta de la Consejera de Administración Pública y Hacienda, y previa deliberación del Consejo de Gobierno, en su reunión del día 3 de octubre de 2014, acuerda aprobar el siguiente, Decreto:


Artículo Único.

Se aprueba la política de Seguridad de la Información de la Administración de la Comunidad Autónoma de La Rioja, en los términos recogidos en el Anexo.


Disposición adicional única. Relación con terceros

Los contratos o convenios que se suscriban a partir de la entrada en vigor de este Decreto deberán contener una cláusula en la que se establezca la obligación de cumplir esta política y el sistema de verificación de su cumplimiento e incluir un acuerdo de confidencialidad.


Disposición final primera. Derogación de acuerdos previos en materia de seguridad de la información

Queda sin efecto el Acuerdo de 24 de julio de 2008, por el que se aprobó la anterior Política de Seguridad.


Disposición final segunda. Facultad de desarrollo

Se faculta a la titular de la Consejería con competencias en materia de tecnologías de la información para dictar cuantas disposiciones exija la aplicación y ejecución de este Decreto.


Disposición final tercera. Entrada en vigor

El presente Decreto entrará en vigor el día siguiente al de su publicación en el «Boletín Oficial de La Rioja».


ANEXO
Política de Seguridad de la Información de la Administración de la Comunidad Autónoma de La Rioja

Introducción

La información constituye un activo de primer orden para el Gobierno de La Rioja ya que resulta imprescindible para la prestación de los servicios públicos. Por su parte, las tecnologías de la información y las comunicaciones (TIC) se han hecho imprescindibles para las administraciones públicas ya que contribuyen de forma muy eficaz al tratamiento de esa información. Sin embargo, las mejoras que aportan las TIC al tratamiento de la información vienen acompañadas de nuevos riesgos. Por esa razón es necesario introducir medidas específicas para proteger tanto la información como los servicios que dependen de ella.

La seguridad de la información tiene como objetivo proteger la información y los servicios, reduciendo los riesgos a los que están sometidos hasta un nivel que resulte aceptable. El presente documento establece la Política de Seguridad de la Información de la Administración de la Comunidad Autónoma de La Rioja para asegurar que todo el personal a su servicio tanto directa como indirectamente, conoce, dirige y da soporte a la seguridad de la información.

Con ello se pretende lograr el alineamiento estratégico de la gestión de la seguridad de la información con las normas internacionales y las regulaciones legislativas existentes en la materia.

1. Misión y objetivos de la política de seguridad de la información

El Gobierno de La Rioja ha establecido un alineamiento con la gestión de la seguridad de la información según lo establecido en el Real Decreto 3/2010, de 8 de enero ( RCL 2010, 158 y 695) , por el que se regula el Esquema Nacional de Seguridad en el ámbito de la administración electrónica, reconociendo como activos estratégicos la información y los sistemas que la soportan.

Uno de los objetivos fundamentales de la implantación de esta Política de Seguridad es establecer las bases sobre las que tanto empleados públicos como ciudadanos puedan acceder a los servicios públicos en un entorno seguro y de confianza.

La Política de Seguridad de la Información define el marco global para la gestión de la seguridad de la información protegiendo todos los activos de información y garantizando la continuidad en el funcionamiento de los de los sistemas. Se pretende de esta forma minimizar los riesgos derivados de una posible falla en la seguridad y asegurar el cumplimiento de los objetivos del Gobierno de La Rioja ante un hipotético incidente de seguridad de la información.

Para ello, se establecen los siguientes objetivos generales en materia de seguridad de la información:

1. Contribuir desde la gestión de la seguridad al cumplimiento de la misión y objetivos establecidos por el Gobierno de La Rioja.

2. Disponer de las medidas de control necesarias para garantizar el cumplimiento de los requisitos legales que sean de aplicación como consecuencia de la actividad desarrollada, especialmente en lo relativo a la protección de datos de carácter personal y a la prestación de servicios a través de medios electrónicos o telemáticos.

3. Asegurar la accesibilidad, confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad de la información.

4. Asegurar la prestación continuada de los servicios, tanto de forma preventiva como de forma reactiva ante los incidentes de seguridad.

5. Proteger los activos de información de la Administración de la Comunidad Autónoma de La Rioja y la tecnología que los soporta frente a cualquier amenaza, intencionada o accidental, interna o externa, con el fin de asegurar la confidencialidad, integridad y disponibilidad de los mismos.

Esta Política de Seguridad asegura un compromiso continuo y manifiesto del Gobierno de La Rioja y todas sus instituciones, para la difusión y consolidación de la cultura de la seguridad.

2. Alcance

Esta Política de seguridad se aplicará a toda la información de la Administración de la Comunidad Autónoma de La Rioja. A estos efectos se entiende por Administración de la Comunidad Autónoma de La Rioja:

a) La Administración General de La Rioja.

b) Los Organismos Públicos adscritos a la Administración General.

Los demás entes integrantes del sector público de la Comunidad Autónoma de La Rioja podrán aplicar esta política de seguridad cuando así lo acuerden o lo establezcan sus normas internas de funcionamiento.

Esta Política no se limita a los datos de carácter personal y es independiente de que el tratamiento sea manual o automatizado.

3. Marco normativo

Sin carácter exhaustivo, la legislación en materia de seguridad de la información que debe servir de referencia es la siguiente:

– Ley Orgánica 15/1999, de 13 de diciembre ( RCL 1999, 3058 ) , de protección de datos de carácter personal y sus normas de desarrollo.

– Ley 30/1992, de 26 de noviembre ( RCL 1992, 2512 , 2775 y RCL 1993, 246) , de régimen jurídico de las administraciones públicas y del procedimiento administrativo común.

– Ley 34/2002, de 11 de julio ( RCL 2002, 1744 y 1987) , de servicios de la sociedad de la información y de comercio electrónico.

– Ley 32/2003, de 3 de noviembre ( RCL 2003, 2593 y RCL 2004, 743) , General de Telecomunicaciones.

– Ley 59/2003, de 19 de diciembre ( RCL 2003, 2975 ) , de firma electrónica.

– Ley 11/2007, de 22 de junio ( RCL 2007, 1222 y 1293) , de acceso electrónico de los ciudadanos a los servicios públicos.

– Ley 37/2007, de 16 de noviembre ( RCL 2007, 2081 ) , sobre reutilización de la información del sector público.

– Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad.

– Orden 3/2014, de 9 de enero (LLR 2014, 22), de la Consejería de Administración Pública y Hacienda, por la que se crea y regula el Comité de Seguridad de la información del Gobierno de La Rioja.

4. Revisión de la política

En relación a las revisiones que puedan realizarse sobre la redacción del texto que constituye la política de seguridad de la información, se distinguirán dos tipos de actividades:

– Revisiones periódicas sistemáticas: Deberán realizarse cuando se detecten incidencias o cambios en el marco legal que puedan cuestionar la validez de dicha Política. La revisión de la Política de Seguridad de la Información deberá garantizar que ésta se encuentra alineada con la estrategia, la misión y visión del Gobierno de La Rioja en materia de seguridad de la información y que asegura el cumplimiento de los objetivos de control establecidos.

Las revisiones periódicas se realizarán al menos con una periodicidad anual.

– Revisiones no planificadas: Estas revisiones deberán realizarse en respuesta a cualquier evento o incidente de seguridad que pudiera suponer un incremento significativo del nivel de riesgo actual o haya causado un impacto en la seguridad de la información del Gobierno de La Rioja.

5. Organización interna de la seguridad

La seguridad de la información corresponde, con las funciones que se señalan para cada uno en este apartado, a los siguientes órganos: Comité de Seguridad de la Información del Gobierno de La Rioja, Responsable de la Información, Responsable del Servicio, Responsable de Seguridad y, en caso de que sea pertinente, Responsables de Seguridad Delegados.

– Comité de Seguridad de la Información del Gobierno de La Rioja.

El Comité de Seguridad de la Información es el creado por la Orden 3/2014, de 9 de enero, de la Consejería de Administración Pública y Hacienda, por la que se crea y regula el Comité de Seguridad de la información del Gobierno de La Rioja.

Cuando lo justifique la complejidad, la separación física de sus elementos o el número de usuarios de la información en soporte electrónico, o de los sistemas que la manejen, podrán crearse Comités de Seguridad delegados, dependientes funcionalmente del CSI-CAR, que serán responsables en su ámbito de las actuaciones que se les deleguen.

– El Responsable de la Información será el titular del órgano administrativo con competencia suficiente para decidir sobre la finalidad, contenido y uso de dicha información y determinará dentro del marco establecido en el Anexo I del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica los requisitos de seguridad de la información tratada. A tal efecto:

a) Determinará los niveles de seguridad de la información tratada, valorando los impactos de los incidentes que afecten a la seguridad de la información, conforme con lo establecido en el artículo 44 del Real Decreto citado.

b) Realizarán, junto a los Responsables del Servicio y del Responsable de Seguridad, los preceptivos análisis de riesgos, y seleccionarán las salvaguardas que se han de implantar.

c) Aceptarán los riesgos residuales respecto de la información calculados en el análisis de riesgos.

d) Realizarán el seguimiento y control de los riesgos, con la participación del Responsable de Seguridad.

– El Responsable del Servicio será el titular del órgano administrativo con competencia suficiente para decidir sobre la finalidad y prestación de dicho servicio y determinará dentro del marco establecido en el anexo I del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica los requisitos de seguridad de los servicios prestados. A tal efecto:

a) Realizarán, junto a los Responsables de la Información y de Seguridad, los preceptivos análisis de riesgos, y seleccionarán las salvaguardas que se han de implantar.

b) Aceptarán los riesgos residuales respecto de la información calculados en el análisis de riesgos.

c) Realizarán el seguimiento y control de los riesgos, con la participación del Responsable de Seguridad.

d) Suspender, de acuerdo con el Responsable de la Información y el Responsable de Seguridad, la prestación de un servicio electrónico o el manejo de una determinada información, si es informado de deficiencias graves de seguridad.

– El Responsable de Seguridad será designado por el titular del órgano con competencias en materia de tecnologías de la información entre personal adscrito a dicho órgano.

El Responsable determinará las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios.

Tendrá las siguientes funciones:

a) Asunción de las funciones incluidas en los artículos 10, 27.3, 34.6, Anexo (apartado 2.3) y Anexo III (apartados 2.1.b. y 2.2.b.) del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.

b) Coordinar y controlar las medidas definidas en el Documento de Seguridad, conforme a lo dispuesto en el artículo 95 del Real Decreto 1720/2007, de 21 de diciembre ( RCL 2008, 150 ) , por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre (RCL 1999, 3058), de Protección de Datos de carácter Personal.

c) Proponer al Responsable del Servicio la determinación de los niveles de seguridad en cada dimensión de seguridad siempre que se le solicite.

d) Realizar o promover auditorías periódicas para verificar el cumplimiento de las obligaciones en materia de seguridad de la información.

e) Realizar el seguimiento y control del estado de seguridad de los sistemas de información.

f) Proponer al Comité de Seguridad las normas de seguridad y los procedimientos de seguridad.

Cuando lo justifique la complejidad, la separación física de sus elementos o el número de usuarios de la información en soporte electrónico, o de los sistemas que la manejen, podrán designarse «responsables de seguridad delegados», dependientes funcionalmente del responsable principal, que serán responsables en su ámbito de las actuaciones que se les deleguen.

6. Resolución de conflictos

En caso de conflicto entre los diferentes responsables que componen la estructura organizativa de la Política de Seguridad de la Información, éste será resuelto por el titular de la Consejería con competencias en materia de tecnologías de la información y prevalecerán las mayores exigencias derivadas de la protección de datos de carácter personal.

7. Clasificación de la información

La Administración de la Comunidad Autónoma de La Rioja clasificará e inventariará los activos de la información en virtud de su naturaleza. El nivel de protección y las medidas a aplicar se basarán en el resultado de dicha clasificación.

8. Datos de carácter personal

Cuando un sistema al que afecte el Esquema Nacional de Seguridad maneje datos de carácter personal, le será de aplicación lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y sus normas de desarrollo, sin perjuicio de los requisitos establecidos en el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.

Todos los sistemas de información se ajustarán a los niveles de seguridad requeridos por la normativa de protección de datos de carácter personal.

Los ficheros que contengan datos de carácter personal, estarán recogidos en el documento de seguridad correspondiente, así como los responsables de los mismos.

9. Gestión de riesgos

Todos los sistemas sujetos a esta Política deberán ser sometidos a un análisis y gestión de riesgos, evaluando los activos, amenazas y vulnerabilidades a los que están expuestos y proponiendo las contramedidas adecuadas para mitigar los riesgos. Aunque se precisa un control continuo de los cambios realizados en los sistemas, este análisis se repetirá:

– Al menos una vez al año (mediante revisión y aprobación formal).

– Cuando cambie la información manejada.

– Cuando cambien los servicios prestados.

– Cuando ocurra un incidente grave de seguridad.

– Cuando se reporten vulnerabilidades graves.

Para la armonización de los análisis de riesgos, se establecerá una valoración de referencia para los diferentes tipos de información manejados y los diferentes servicios prestados.

10. Instrumentos de desarrollo

– Se establece un marco normativo en materia de seguridad de la información estructurado por diferentes niveles de forma que los objetivos marcados por el presente documento tengan un desarrollo específico.

– La política de seguridad estructurará su marco normativo en los siguientes niveles:

1. La presente Política de Seguridad de la Información que establece los requisitos y criterios de protección de carácter global.

2. Las normas de seguridad que definen qué hay que proteger y los requisitos de seguridad deseados. El conjunto de todas las normas de seguridad debe cubrir la protección de todos los entornos de los sistemas de información de la organización. Establecen un conjunto de expectativas y requisitos que deben ser alcanzados para poder satisfacer y cumplir cada uno de los objetivos de seguridad establecidos en la política.

Las propone el Responsable de Seguridad y las aprueba el Comité de seguridad de la Información.

3. Los procedimientos de seguridad en los que describirá de forma concreta cómo proteger lo definido en las normas y las personas o grupos responsables de la implantación, mantenimiento y seguimiento de su nivel de cumplimiento. Son documentos que especifican cómo llevar a cabo las tareas habituales, quién debe hacer cada tarea y cómo identificar y reportar comportamientos anómalos.

Su aprobación dependerá de su ámbito de aplicación, que podrá ser en un ámbito específico o en un sistema de información determinado.

Además se podrán establecer guías con recomendaciones y buenas prácticas.

En la medida de lo posible, toda esta documentación será gestionada según establece el procedimiento PG-SGSI-01-Control de documentos y registros que tiene como objetivo establecer los criterios para el control de la documentación y registros de seguridad utilizados en el Sistema de Gestión de la Seguridad de la Información y que se extiende a toda la documentación que da soporte al cumplimiento del Esquema Nacional de Seguridad.

11. Obligaciones del personal

Todo el personal con responsabilidad en el uso, operación, o administración de sistemas de tecnologías de la información y las comunicaciones tienen la obligación de conocer y cumplir esta Política de Seguridad de la Información y la normativa de seguridad derivada, independientemente del tipo de relación jurídica que les vincule con la Administración General y con sus organismos Públicos.

Todas las personas recibirán formación para el manejo seguro de los sistemas en la medida en que la necesiten para realizar su trabajo.

La Política de Seguridad estará accesible para todo el personal que preste sus servicios en los órganos y entidades a que se refiere el punto relativo al «Alcance».

Con el objetivo de fomentar la «Cultura de la seguridad», el Comité de Seguridad de la Información promoverá un programa de concienciación continúa para formar a todo el personal.

El incumplimiento de la Política de Seguridad y su normativa de desarrollo dará lugar al establecimiento de medidas preventivas y correctivas encaminadas a salvaguardar y proteger las redes y sistemas de información, sin perjuicio de la correspondiente exigencia de responsabilidad disciplinaria.

12. Relaciones con terceros

Cuando la Administración de la Comunidad Autónoma de La Rioja preste servicios o ceda información a otras Administraciones Públicas u organismos, se les hará partícipe de esta Política de Seguridad de la Información y de las normas e instrucciones derivadas.

Asimismo, cuando la Administración utilice servicios de terceros o ceda información a terceros se les hará igualmente partícipe de esta Política de Seguridad de la Información y de la normativa e instrucciones de seguridad que ataña a dichos servicios o información. Los terceros quedarán sujetos a las obligaciones y medidas de seguridad establecidas en dicha normativa e instrucciones, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla. Se establecerán procedimientos específicos de detección y resolución de incidencias. Se garantizará que el personal de terceros está adecuadamente concienciado en materia de seguridad de la información, al menos al mismo nivel que el establecido en esta Política de Seguridad de la Información.

En concreto, los terceros deberán garantizar el cumplimiento de la política de seguridad de la información basadas en estándares auditables que permitan verificar el cumplimiento de estas políticas. Asimismo, se garantizará mediante auditoría o certificado de destrucción/borrado que el tercero cancela y elimina los datos pertenecientes a la Administración de la Comunidad Autónoma de La Rioja a la finalización del contrato.

Cuando algún aspecto de la Política de la Seguridad de la Información no pueda ser satisfecho por una tercera parte, se requerirá un informe del Responsable de Seguridad de la Información que precise los riesgos en que se incurre y la forma de tratarlos. Se requerirá la aprobación de este informe por el Responsable de la Información y de los Servicios afectados antes de seguir adelante.

Compartir por email
Imprimir
 
 
 
 
Ebooks desde 3
Tarifa Plana
Publicaciones Compliance Norma UNE
Aranzadi Fusion empresa
 
Webinar precios de transferencia