Ir al contenido principal

Requisitos mínimos de seguridad siguiendo los principios del RD 3/2010 Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica

Resultado de imagen de Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica 

El Artículo 11 del  RD 3/2010 por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, trata sobre los requisitos mínimos de seguridad. Según lo cual, todos los órganos superiores de las Administraciones han de tener su política de seguridad, 
  • que deberá articular la gestión continuada de la seguridad, 
  • que será aprobada por el titular del órgano superior correspondiente. 
Se establecerá esta política de seguridad, conforme a los principios básicos que el RD expone y se desarrollará aplicando requisitos mínimos, como son:
  • a) Organización e implantación del proceso de seguridad.
  • b) Análisis y gestión de los riesgos.
  • c) Gestión de personal.
  • d) Profesionalidad.
  • e) Autorización y control de los accesos.
  • f) Protección de las instalaciones.
  • g) Adquisición de productos.
  • h) Seguridad por defecto.
  • i) Integridad y actualización del sistema.
  • j) Protección de la información almacenada y en tránsito.
  • k) Prevención ante otros sistemas de información interconectados.
  • l) Registro de actividad.
  • m) Incidentes de seguridad.
  • n) Continuidad de la actividad.
  • o) Mejora continua del proceso de seguridad.
Se considerarán órganos superiores, los responsables directos de la responsabilidad del gobierno,
  • central, 
  • autonómico 
  • o local, 
en un sector de actividad específico, de acuerdo con lo establecido en 
Los municipios podrán disponer de una política de seguridad común elaborada por
  • la Diputación, 
  • Cabildo, 
  • Consejo Insular 
  • u órgano unipersonal correspondiente de aquellas otras corporaciones de carácter representativo a las que corresponda el gobierno y la administración autónoma de la provincia o, en su caso, a la entidad comarcal correspondiente a la que pertenezcan.
Todos estos mínimos requisitos se exigirán en proporción a los riesgos identificados en cada sistema, pudiendo algunos no ser necesarios en sistemas sin riesgos significativos (se cumplirán de acuerdo con lo establecido en el artículo 27).

Véase Orden AAA/991/2015, de 21 de mayo, por la que se aprueba la política de seguridad de la información en el ámbito de la Administración Electrónica del Ministerio de Agricultura, Alimentación y Medio Ambiente («B.O.E.» 29 mayo).
Resultado de imagen de Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica 

En cuanto a la organización e implantación del proceso de seguridad, la seguridad deberá comprometer a todos los miembros de la organización.

La política de seguridad (anexo II, sección 3.1), deberá
  • identificar unos claros responsables de velar por su cumplimiento 
  • y ser conocida por todos los miembros de la organización administrativa.
Por lo que respecta al análisis y gestión de los riesgos, cada organización que desarrolle e implante sistemas para el tratamiento de la información y las comunicaciones realizará su propia gestión de riesgos.
Se realizará esta gestión por medio del
  • análisis y 
  • tratamiento de los riesgos a los que está expuesto el sistema. 
Se empleará alguna metodología reconocida internacionalmente y las medidas que se adopten para
  • mitigar o 
  • suprimir los riesgos 
deberán estar justificadas, debiendo existir una proporcionalidad entre ellas y los riesgos.
En cuanto a la gestión de personal, todo el personal relacionado con la información y los sistemas deberá ser
  • formado e 
  • informado 
de sus
  • deberes 
  • y obligaciones en materia de seguridad. 
  • Sus actuaciones deben ser supervisadas 
  • para verificar que se siguen los procedimientos establecidos.
El personal relacionado con la información y los sistemas, ejercitará y aplicará los principios de seguridad en el desempeño de su cometido.

Las normas de seguridad concretarán y plasmarán el significado y alcance del uso seguro del sistema.

cada usuario debe estar identificado de forma única cuando acceda a la información del sistema, de esta manera se podrá corregir o exigir responsabilidades
  • de quién recibe derechos de acceso, 
  • de qué tipo son éstos, 
  • y quién ha realizado determinada actividad.
Imagen relacionada 
 
La seguridad de los sistemas exige profesionalidad, estará 
  • atendida, 
  • revisada y 
  • auditada 
por personal cualificado, dedicado e instruido en todas las fases de su ciclo de vida: 
  • instalación, 
  • mantenimiento, 
  • gestión de incidencias y desmantelamiento.
El personal de las Administraciones públicas recibirá la formación específica necesaria para garantizar la seguridad de las tecnologías de la información aplicables a los sistemas y servicios de la Administración.   

Las Administraciones públicas exigirán, de manera objetiva y no discriminatoria, que las organizaciones que les presten servicios de seguridad cuenten 
  • con profesionales cualificados y 
  • con unos niveles idóneos de gestión y madurez en los servicios prestados.
En cuanto a autorización y control de los accesos, el acceso al sistema de información deberá ser controlado y limitado a
  • los usuarios, 
  • procesos, 
  • dispositivos y 
  • otros sistemas de información, debidamente autorizados, restringiendo el acceso a las funciones permitidas.
En lo relativo a protección de las instalaciones, los sistemas se instalarán en
  • áreas separadas, 
  • dotadas de un procedimiento de control de acceso
  • las salas deben estar cerradas y 
  • disponer de un control de llaves.
El RD 3/2010 por el que se regula el Esquema Nacionald e Seguridad en el Ámbito de la Administración Electrónica, trata en su artículo 18 sobre la adquisición de productos de seguridad y contratación de servicios de seguridad.
 
En la adquisición de productos de seguridad de las TIC, tecnologías de la información y comunicaciones, que vayan a ser empleados por las Administraciones públicas se utilizarán, de forma proporcionada a la categoría del sistema y nivel de seguridad determinados, los que tengan certificada la funcionalidad de seguridad relacionada con el objeto de su adquisición, excepto en los casos en que las exigencias de proporcionalidad en cuanto a los riesgos asumidos no lo justifiquen a criterio del responsable de Seguridad.
 
La certificación deberá estar de acuerdo con las normas y estándares de mayor reconocimiento internacional en seguridad.
 
El Organismo de Certificación del Esquema Nacional de Evaluación y Certificación de Seguridad de las Tecnologías de la Información, (constituido al amparo de lo dispuesto en el artículo 2.2.c) del Real Decreto 421/2004, de 12 de marzo, y regulado por la orden PRE/2740/2007, de 19 de septiembre), dentro de sus competencias, determinará el criterio a cumplir en función del uso previsto del producto a que se refiera, en relación con el nivel de evaluación, otras certificaciones de seguridad adicionales que se requieran normativamente, así como, excepcionalmente, en los casos en que no existan productos certificados. El proceso se efectuará teniendo en cuenta los criterios y metodologías de evaluación determinados por las normas internacionales.
El artículo 19 habla de la Seguridad por defecto. Los sistemas deben diseñarse y configurarse de forma que garanticen la seguridad por defecto:
  • a) El sistema debe proporcionar la mínima funcionalidad requerida para que la organización alcance sus objetivos. 
  • b) Las funciones de 
    • operación, 
    • administración y 
    • registro de actividad serán las mínimas necesarias, y 
    • se asegurará que sólo son accesibles por las personas, 
    • o desde emplazamientos o equipos, autorizados, 
    • pudiendo exigirse restricciones de horario y puntos de acceso facultados.
  • c) En un sistema de explotación, mediante el control de la configuración, se eliminarán o desactivarán, las funciones que 
    • no sean de interés, 
    • sean innecesarias 
    • e, incluso, aquellas que sean inadecuadas al fin que se persigue.
  • d) El uso ordinario del sistema ha de ser sencillo y seguro, para que una utilización insegura requiera de un acto consciente por parte del usuario para realizarla.
Resultado de imagen de Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica 

En cuanto a la integridad y actualización del sistema, todo elemento físico o lógico necesitará autorización formal previa a su instalación en el sistema.
Se deberá conocer siempre el estado de seguridad de los sistemas, en relación a
  • las especificaciones de los fabricantes, 
  • a las vulnerabilidades 
  • y a las actualizaciones que les afecten, 
reaccionando con diligencia para gestionar el riesgo a la vista del estado de seguridad de los mismos.
Sobre protección de información almacenada y en tránsito, en la estructura y organización de la seguridad del sistema, se deberá prestar especial atención a
  • la información almacenada 
  • o en tránsito, a través de entornos inseguros. 
Tendrán la consideración de entornos inseguros
  • los equipos portátiles, 
  • asistentes personales (PDA), 
  • dispositivos periféricos, 
  • soportes de información y comunicaciones sobre redes abiertas o con cifrado débil.
Forman parte de la seguridad los procedimientos que aseguren
  • la recuperación 
  • y conservación a largo plazo de los documentos electrónicos producidos por las Administraciones públicas en el ámbito de sus competencias.
Toda información en soporte no electrónico, que haya sido causa o consecuencia directa de la información electrónica deberá estar protegida con el mismo grado de seguridad que ésta. Para lo cual se aplicarán las medidas que correspondan a la naturaleza de su soporte, de conformidad con las normas de aplicación a la seguridad de los mismos.
 
En cuanto a la prevención ante otros sistemas de información interconectados, el sistema ha de proteger el perímetro, en particular, si se conecta a redes públicas.

Es una red pública de comunicaciones la red de comunicaciones electrónicas que se utiliza, en su totalidad o principalmente, para la prestación de servicios de comunicaciones electrónicas disponibles para el público, de conformidad a la definición establecida en el apartado 26 del anexo II, de la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones.

Se analizarán los riesgos derivados de la interconexión del sistema, a través de redes, con otros sistemas, y se controlará su punto de unión.
Resultado de imagen de Esquema Nacional de Seguridad en el ámbito de la Administración ElectrónicaEl artículo 23 trata sobre el registro de actividad.
 
Con la finalidad de lograr el cumplimiento del objeto del RD 3/2010, con plenas garantías del
  • derecho al honor, 
  • a la intimidad personal y familiar 
  • y a la propia imagen de los afectados, 
y de acuerdo con la normativa sobre protección de datos personales, de función pública o laboral, y demás disposiciones que resulten de aplicación, se registrarán las actividades de los usuarios, reteniendo la información precisa para
  • monitorizar, 
  • analizar, 
  • investigar y 
  • documentar actividades indebidas o no autorizadas, 
  • permitiendo identificar en cada momento a la persona que actúa.
Es preciso controlar los incidentes de seguridad, par alo cual se establecerá un sistema de
  • detección y 
  • reacción frente a código dañino.
Se dispondrá de procedimientos de gestión 
  • de incidentes de seguridad 
  • y de debilidades detectadas en los elementos del sistema de información. 
Estos procedimientos cubrirán 
  • los mecanismos de detección, 
  • los criterios de clasificación, 
  • los procedimientos de análisis y resolución, 
  • los cauces de comunicación a las partes interesadas 
  • y el registro de las actuaciones. 
Este registro se empleará para la mejora continua de la seguridad del sistema.
 
Los sistemas dispondrán de copias de seguridad y establecerán los mecanismos necesarios para garantizar la continuidad de las operaciones, en caso de pérdida de los medios habituales de trabajo.

Se procurará la mejora continua del proceso de seguridad. Para lo cual el proceso integral de seguridad implantado deberá ser actualizado y mejorado de forma continua. En función de esto se aplicarán los criterios y métodos reconocidos en la práctica nacional e internacional relativos a gestión de las tecnologías de la información.
Para dar cumplimiento a los requisitos mínimos establecidos en el RD 3/20101, las Administraciones públicas aplicarán las medidas de seguridad teniendo en cuenta:
  • a) Los activos que constituyen el sistema.
  • b) La categoría del sistema.
  • c) Las decisiones que se adopten para gestionar los riesgos identificados.
Cuando un sistema maneje datos de carácter personal le será de aplicación lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, y normativa de desarrollo, además de los requisitos establecidos en el Esquema Nacional de Seguridad.


Estas medidas de seguridad podrán ser reemplazadas por otras compensatorias siempre que se justifique documentalmente 
  • la protección igual o mejor del riesgo sobre los activos 
  • y se satisfacen los principios básicos 
  • y los requisitos mínimos. 
La utilización de infraestructuras y servicios comunes reconocidos en las Administraciones Públicas facilitará el cumplimiento de los principios básicos y los requisitos mínimos exigidos en condiciones de mejor eficiencia.

Los supuestos concretos de utilización de estas infraestructuras y servicios comunes serán determinados por cada Administración.
Resultado de imagen de Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica 

El artículo 29 versa sobre las instrucciones técnicas de seguridad y guías de seguridad.

Para el mejor cumplimiento de lo establecido en el Esquema Nacional de Seguridad, el Centro Criptológico Nacional elaborará y difundirá las correspondientes guías de seguridad de las tecnologías de la información y las comunicaciones.
 
El Ministerio de Hacienda y Administraciones Públicas, a propuesta del Comité Sectorial de Administración Electrónica previsto en el artículo 40 de la Ley 11/2007, de 22 de junio , y a iniciativa del Centro Criptológico Nacional, 
  • aprobará las instrucciones técnicas de seguridad de obligado cumplimiento 
  • y se publicarán mediante resolución de la Secretaría de Estado de Administraciones Públicas. 
Para la redacción y mantenimiento de las instrucciones técnicas de seguridad se constituirán grupos de trabajo en los órganos colegiados con competencias en materia de administración electrónica.
 
Véase la Res. de 7 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de Informe del Estado de la Seguridad («B.O.E.» 2 noviembre).
Véase la Res. de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de conformidad con el Esquema Nacional de Seguridad («B.O.E.» 2 noviembre).
 
Las instrucciones técnicas de seguridad tendrán en cuenta las normas de nivel europeo.
 
El artículo 30 trata sobre los sistemas de información no afectados.
Las Administraciones públicas podrán determinar los sistemas de información a los que no les sea de aplicación lo dispuesto en el RD 3/2010, por tratarse de sistemas
  • no relacionados con el ejercicio de derechos 
  • ni con el cumplimiento de deberes por medios electrónicos 
  • ni con el acceso por medios electrónicos de los ciudadanos a la información y al procedimiento administrativo, de acuerdo con lo previsto en la Ley 11/2007, de 22 de junio.

Entradas populares de este blog

¿Qué es la Grafocrítica?

Hablando sobre Pericia Caligráfica: ¿Qué es la Grafocrítica?23 octubre, 2012 Segundo artículo de la serie Hablando sobre Pericia Caligráfica de María del Carmen Calderón Berrocal, Perito Judicial Calígrafo en los tribunales de Sevilla y Huelva.
La grafocrítica es la crítica del grafismo desde el punto de vista de su autenticidad, se trata de determinar la veracidad o dolo que hay en un determinado escrito Hay que tener presente conceptos como Paleografía y Neografía. Mientras que la Paleografía es la ciencia que estudia la grafía hasta el siglo XVI, la Neografía vendría a encargarse de lo propio a partir de esta fecha. Es por esto que la Grafocrítica, Grafística, pericia caligráfica, está vinculada inherentemente a las humanidades y a las Ciencias y Técnicas Historiográficas. El concepto Grafocrítica viene a emplearse cuando se estudian documentos posteriores al siglo XVI y cuando estos estudios se basan en el estudio de los aspectos psic…

Finalidad del archivo

Sobre la ISO 15489

La Norma ISO 15489 trata sobre los principios de la gestión de documentos, estableciendo los basicos requisitos para que las distintas organizaciones puedan poner en marcha un marco de buenas prácticas que sirvan para mejorar sistemática y efectivamente la creación y el mantenimiento de sus documentos,a la vez que se apoye la política y los objetivos de la organización.

Ésta y otras normas que le son complementarias vienen a responder a la evolución del records management, en América; y del recordskeeping, en Australia, sobre la necesidad de integrar la gestión documental enfocada en normas de procesos y normas de gestión de calidad.

Para el desarrollo de un plan de gestión de documentos, se debe establecer la política y responsabilidades conforme a las necesidades de la organización.

La Norma presenta una metodología específica para

- el diseño y la implementación del sistema de gestión documental
- definir los procesos técnicos
- elaborar los instrumentos principales (cuadros de cl…