Las condiciones técnicas de seguridad de las
comunicaciones electrónicas en lo relativo a la constancia de la
transmisión y recepción,
- de sus fechas,
- del contenido integro de las comunicaciones
- y la identificación fidedigna del remitente
- y destinatario de las mismas,
Las comunicaciones tendrán el valor y la eficacia
jurídica que corresponda a su respectiva naturaleza, de conformidad con
la legislación que resulte de aplicación.
Las notificaciones y publicaciones electrónicas
- de resoluciones
- y actos administrativos
se realizarán de forma que cumplan con las
siguientes exigencias técnicas:
- a) Aseguren la autenticidad del organismo que lo publique.
- b) Aseguren la integridad de la información publicada.
- c) Dejen constancia de
- la fecha y
- hora de la puesta a disposición del interesado de la resolución o acto objeto de publicación o notificación, así como del
- acceso a su contenido.
- d) Aseguren la autenticidad del destinatario de la publicación o notificación.
En cuanto a Firma electrónica, el artículo 33 del RD 3/2010 dispone que los mecanismos de firma electrónica se aplicarán de acuerdo con lo
preceptuado en la política de firma electrónica y de certificados, según
se establece en el Esquema Nacional de Interoperabilidad.
La política de firma electrónica y de certificados concretará
La política de firma electrónica y de certificados concretará
- los procesos de generación,
- validación y
- conservación de firmas electrónicas,
- así como las características y requisitos exigibles a
- los sistemas de firma electrónica,
- los certificados,
- los servicios de sellado de tiempo,
- y otros elementos de soporte de las firmas.
Los sistemas de información serán objeto de una auditoría regular ordinaria, cada dos años al menos, que verifique el cumplimiento de los requerimientos del Esquema Nacional de Seguridad.
Deberá realizarse auditoría con carácter extraordinario, siempre que se produzcan modificaciones sustanciales en el sistema de información, que puedan repercutir en las medidas de seguridad requeridas.
La realización de la auditoria extraordinaria determinará la fecha de cómputo para el cálculo de los dos años, establecidos para la realización de la siguiente auditoría regular ordinaria.
La auditoría se realizará en función de la categoría del sistema.
En el marco de lo dispuesto en el artículo 39, de la ley 11/2007, de 22 de junio, la auditoría profundizará en los detalles del sistema hasta el nivel que considere que proporciona evidencia suficiente y relevante, dentro del alcance establecido para la auditoría.
En la auditoría se utilizarán
- los criterios,
- métodos de trabajo
- y de conducta generalmente reconocidos,
- así como la normalización nacional e internacional aplicables a este tipo de auditorías de sistemas de información.
- dictaminará sobre el grado de cumplimiento del RD 3/2010,
- identificará sus deficiencias
- y sugerirá las posibles medidas correctoras o complementarias necesarias,
- así como las recomendaciones oportunas.
- Deberá incluir
- los criterios metodológicos de auditoría utilizados,
- el alcance
- y el objetivo de la auditoría,
- y los datos, hechos y observaciones en que se basen las conclusiones formuladas.
- el responsable del sistema
- y el responsable de seguridad competentes.
En el caso de los sistemas de categoría ALTA, una vez visto el dictamen de la auditoría, el responsable del sistema podrá acordar
- la retirada de operación de alguna información,
- de algún servicio
- o del sistema en su totalidad,
Los informes de auditoría podrán ser requeridos por los responsables de cada organización competentes en seguridad de las tecnologías de la información.