DECRETO 66/2012, de 27 de abril, del Consell, por el que se establece la política de seguridad de la información de la Generalitat.
| Texto | Texto2 | |
|---|---|---|
| Publicado en: | DOGV núm. 6764 de 30.04.2012 | |
| Número identificador: | 2012/4162 | |
| Referencia Base Datos: | 004163/2012 | |
-
Análisis jurídico
Texto Texto Texto2 Fecha de entrada en vigor: 01.05.2012 Esta disposición afecta a: Desarrolla o Complementa a: Modifica a: Esta disposición está afectada por: Desarrollada o Complementada por: - ORDEN 9/2012, de 10 de julio, de la Conselleria de Sanidad, por la que establece la organización de la seguridad de la información. [2012/7630] (DOGV núm. 6833 de 03.08.2012) Ref. Base Datos 007573/2012
- DECRETO 130/2012, de 24 de agosto, del Consell, por el que se establece la organización de la seguridad de la información de la Generalitat. [2012/8152] (DOGV núm. 6848 de 27.08.2012) Ref. Base Datos 008251/2012
-
Análisis documental
Texto Texto Texto2 Origen disposición: Conselleria de Hacienda y Administración Pública Grupo Temático: Legislación Materias: Administración electrónica Telecomunicaciones y nuevas tecnologías Descriptores: Temáticos: sistema de información, tratamiento de datos, informática, protección de datos , monografias
DECRETO 66/2012, de 27 de abril, del Consell, por el que se establece la política de seguridad de la información de la Generalitat. [2012/4162]
ÍNDICE
Preámbulo
Capítulo I. Naturaleza y destinatarios
Artículo 1. Objeto
Artículo 2. Ámbito de aplicación
Capítulo II. Principios y obligaciones
Artículo 3. La seguridad como proceso integral.
Artículo 4. Gestión de riesgos
Artículo 5. Clasificación de la información
Artículo 6. Separación de funciones
Artículo 7. Planificación y coordinación
Artículo 8. Acceso a la información
Artículo 9. Registro de actividad
Artículo 10. Confidencialidad y deber de secreto
Artículo 11. Uso de instalaciones y equipamiento
Artículo 12. Características de los sistemas de información
Artículo 13. Protección de la información almacenada y en tránsito
Capítulo III. Desarrollo
Artículo 14. Desarrollo
Capítulo IV. Difusión, actualización y obligaciones
Artículo 15. Publicidad, monitorización y revisión
Artículo 16. Obligaciones del personal
Disposición adicional primera. Relaciones con terceros
Disposición adicional segunda. Posibilidad de adhesión
Disposición derogatoria única. Derogación normativa
Disposición final primera. Desarrollo
Disposición final segunda. Entrada en vigor
PREÁMBULO
La información constituye un activo de primer orden para la Generalitat, desde el momento en que resulta esencial para la prestación de gran parte de sus servicios. Por otro lado, las tecnologías de la información y las comunicaciones se han hecho imprescindibles también y cada vez más para las administraciones públicas. Sin embargo, las indiscutibles mejoras que aportan al tratamiento de la información vienen acompañadas de nuevos riesgos, y por lo tanto es necesario introducir medidas específicas para proteger tanto la información como los servicios que dependan de ella.
La seguridad de la información tiene como objetivo proteger la información y los servicios reduciendo los riesgos a los que están sometidos hasta un nivel que resulte aceptable. Dentro de cada organización sólo sus máximos directivos tienen las competencias necesarias para fijar dicho nivel, ordenar las actuaciones y habilitar los medios para llevarlas a cabo. En este sentido, establecer una política de seguridad de la información, y hacer el subsiguiente reparto de tareas y responsabilidades, son actuaciones prioritarias, puesto que son los dos instrumentos principales para el gobierno de la seguridad y constituyen el marco de referencia para todas las actuaciones posteriores. El presente decreto establece la política de seguridad de la información de la Generalitat, y se complementará con el desarrollo de la organización de la seguridad. Con ambas disposiciones la Generalitat se dota de dos instrumentos eficaces para mejorar la seguridad de la información bajo su responsabilidad, sin limitarse a la que se refiere a datos personales o a la que interviene en procedimientos de administración electrónica.
El artículo 45 de la Ley de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, bajo la rúbrica Incorporación de medios técnicos, establece que las administraciones públicas impulsarán el empleo y aplicación de las técnicas y medios electrónicos, informáticos y telemáticos para el desarrollo de su actividad y el ejercicio de sus competencias.
La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, en su artículo 9.1 obliga a los responsables de los ficheros que contengan datos personales a «adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado».
La Ley 11/2007, de 22 de junio, de Acceso Electrónico de los Ciudadanos a los Servicios Públicos, en su parte expositiva, entre otros extremos, precisa que «los técnicos y los científicos han puesto en pie los instrumentos de esta sociedad, pero su generalización depende, en buena medida, del impulso que reciba de las administraciones públicas», figurando entre sus fines el crear las condiciones de confianza en el uso de los medios electrónicos, estableciendo las medidas necesarias para la preservación de la integridad de los derechos fundamentales, y, en especial, los relacionados con la intimidad y la protección de datos de carácter personal por medio de la garantía de la seguridad de los sistemas, los datos, las comunicaciones y los servicios electrónicos. El Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la administración electrónica, tiene como finalidad la creación de las condiciones necesarias de confianza en el uso de los medios electrónicos.
El Esquema Nacional de Seguridad en el ámbito de la administración electrónica obliga a los órganos superiores de las administraciones públicas a dotarse formalmente de una política de seguridad, que deberá atenerse a los principios básicos y requisitos mínimos que se relacionan en los capítulos II y III del Real Decreto 3/2010, de 8 de enero.
La disposición final octava de la Ley 11/2007, de 22 de junio, establece que corresponde al Gobierno y a las comunidades autónomas, en el ámbito de sus respectivas competencias, dictar las disposiciones necesarias para el desarrollo y aplicación de la citada ley.
En el ámbito autonómico, los antecedentes normativos en esta materia se encuentran en el Decreto 96/1998, de 6 de julio, del Consell, por el que se regulan la organización de la función informática, la utilización de los sistemas de información y el registro de ficheros informatizados en el ámbito de la administración de la Generalitat, y en el Decreto 112/2008, de 25 de julio, del Consell, por el que se creó la Comisión Interdepartamental para la Modernización Tecnológica, la Calidad y la Sociedad del Conocimiento en la Comunitat Valenciana.
Por otra parte, la Ley 3/2010, de 5 de mayo, de la Generalitat, de Administración Electrónica de la Comunitat Valenciana, se promulgó al amparo del artículo 19.2 del Estatut d'Autonomia de la Comunitat Valenciana, que reconoce el derecho de acceso de los valencianos a las nuevas tecnologías y a que la Generalitat desarrolle políticas activas que impulsen la formación, las infraestructuras y su utilización, así como del artículo 49.3.16, que establece que la Generalitat tiene competencia exclusiva sobre el «régimen de las nuevas tecnologías relacionadas con la sociedad de la información y del conocimiento».
El artículo 37.4 de la Ley 3/2010, de 5 de mayo, de la Generalitat, dispone que «las administraciones públicas, en función de su capacidad y posibilidades, aprobarán, o adoptarán mediante los oportunos acuerdos y convenios, políticas de seguridad de la información para la aplicación efectiva de los principios señalados en los apartados anteriores, pudiendo promover la constitución o incorporación a los grupos y centros de seguridad a los que se refiere el artículo 35.6 de esta ley».
Por lo expuesto, en cumplimiento de lo dispuesto en la disposición final octava de la Ley 11/2007, de 22 de junio, de Acceso Electrónico de los Ciudadanos a los Servicios Públicos, y del artículo 37.4 de la Ley 3/2010, de 5 de mayo, de la Generalitat, de Administración Electrónica de la Comunitat Valenciana, a propuesta del conseller de Hacienda y Administración Pública, conforme con el Consell Jurídic Consultiu de la Comunitat Valenciana y previa deliberación del Consell, en la reunión del día 27 de abril de 2012,
DECRETO
CAPÍTULO I
Naturaleza y destinatarios
Artículo 1. Objeto
El presente decreto tiene por objeto definir y regular la política de seguridad de la información que se ha de aplicar en el tratamiento de la información situada bajo la responsabilidad de los distintos órganos de la administración de la Generalitat y sus entidades autónomas.
Artículo 2. Ámbito de aplicación
La política de seguridad regulada en el presente decreto deberá aplicarse a toda la información bajo la responsabilidad de la administración de la Generalitat y sus entidades autónomas, así como al tratamiento del que pueda ser objeto. Esta consideración no se limita a los datos de carácter personal y es independiente de que el tratamiento sea manual o automatizado.
CAPÍTULO II
Principios y obligaciones
Artículo 3. La seguridad como proceso integral
1. La seguridad de la información es el resultado de un proceso que depende de todos y cada uno de los elementos humanos, técnicos, materiales y organizativos que intervienen en el tratamiento. Quienes participen en cualquier fase del tratamiento deberán responder, en la medida de sus responsabilidades, de la seguridad y buen uso de la información. De manera especial, deberán colaborar en la prevención, detección y control de los riesgos derivados de actuaciones negligentes, ignorancia de las normas, fallos técnicos, de organización o de coordinación, o instrucciones inadecuadas.
2. La Generalitat, a través de los distintos agentes con responsabilidades específicas en materia de seguridad de la información, se encargará de proporcionar los canales de participación adecuados que hagan efectiva la colaboración mencionada en el apartado anterior. Del mismo modo, la Generalitat se ocupará de mantener permanentemente informados, a todos los destinatarios de esta política, del propósito y contenido de la misma, así como de los documentos que la desarrollan y de los canales de participación habilitados.
3. El proceso de gestión de la seguridad de la información deberá estar sometido a monitorización, control y mejora continuos para confirmar su eficacia ante la constante evolución de los riesgos y de los sistemas de protección.
Artículo 4. Gestión de riesgos
1. El gobierno y la gestión de la seguridad de la información se guiarán por los resultados de los procesos de análisis y gestión de riesgos.
2. Los responsables de seguridad de la información elaborarán un informe anual sobre el estado de la seguridad, los riesgos previsibles y los planes de actuación recomendados. Estos informes se elevarán a los responsables de la información y, en su caso, a los responsables de tratamiento, quienes fijarán el nivel de riesgo aceptable y ordenarán las actuaciones oportunas.
3. La reducción de los niveles de riesgo se realizará mediante la aplicación de controles. La selección y aplicación de los controles ponderarán el valor de los activos con los niveles de riesgo y el coste de la seguridad.
4. Los controles deberán ser eficaces antes, durante o después de que ocurra un incidente de seguridad. Su objetivo es evitar que sucedan incidencias y controlar los daños si es que finalmente llegan a producirse.
5. El análisis y la gestión de riesgos deberán estar presentes en todas las fases del ciclo de vida de las aplicaciones y servicios relacionados con el tratamiento de la información, empezando por la del estudio de viabilidad.
6. La selección y aplicación de los controles de seguridad, así como la evaluación de su eficiencia, deberán tenerse en cuenta durante el diseño, construcción, contratación, adquisición, explotación, cierre, terminación, cancelación o enajenación de las aplicaciones y servicios mencionados.
7. Los órganos competentes de la Generalitat valorarán en las contrataciones aquellas empresas, productos y servicios que puedan acreditar un nivel de calidad o seguridad. El cumplimiento de un nivel mínimo determinado podrá ser un requisito imprescindible.
Artículo 5. Clasificación de la información
Los activos de información deberán estar inventariados y clasificados. El nivel de protección y las medidas a aplicar se basarán en el resultado de dicha clasificación.
Artículo 6. Separación de funciones
La seguridad de la información exige un reparto de tareas y responsabilidades con una clara separación de funciones. En particular, se deberá mantener una clara distinción entre los tres siguientes papeles: responsables de la información, responsables del servicio y responsables de seguridad, que serán definidos en el esquema organizativo.
Artículo 7. Planificación y coordinación
1. Los objetivos a medio plazo para la mejora de la seguridad de la información se explicitarán en los correspondientes planes estratégicos. Estos planes contendrán una descripción de las líneas de actuación previstas, proyectos, indicadores de cumplimiento y de progreso, así como métricas para evaluar la efectividad. Estos planes se revisarán anualmente teniendo en cuenta los resultados de las auditorías y de las evaluaciones de riesgos. Los planes estratégicos, los informes de seguimiento y las revisiones anuales se someterán a la aprobación de los responsables de la información o de los responsables de tratamiento, según corresponda.
2. La coordinación entre todos los agentes de los que depende la seguridad de la información debe formar parte de todas las iniciativas y actuaciones. La Generalitat habilitará los medios técnicos necesarios para facilitar esa coordinación. Los responsables de seguridad actuarán de manera coordinada en la aplicación y control de las medidas de seguridad.
3. Las empresas de servicios, organizaciones y entidades con acceso a información situada bajo la responsabilidad de la Generalitat deberán nombrar un responsable de seguridad que actúe como interlocutor válido a los efectos de la coordinación en esa materia.
Artículo 8. Acceso a la información
1. Quienes traten información que no haya sido clasificada de acceso público deberán estar debidamente identificados y tener los privilegios de acceso a la información estrictamente imprescindibles para desempeñar su cometido.
2. Los responsables de la información deberán nombrar un responsable de acceso para cada activo de información, quien a su vez podrá nombrar delegados donde se realice tratamiento.
3. Cada intento de acceso deberá quedar registrado con el suficiente nivel de detalle. Los responsables de los accesos revisarán e informarán estos registros.
Artículo 9. Registro de actividad
Las actuaciones de las personas, en tanto que formen parte de determinado tratamiento de información, podrán ser registradas en cumplimiento de las exigencias legales de trazabilidad. También podrán serlo para monitorizar el cumplimiento de la presente política. En todo caso, el registro de tales actuaciones se realizará preservando los derechos de los afectados y respetando la normativa laboral aplicable.
Artículo 10. Confidencialidad y deber de secreto
Quienes por razón del ejercicio de sus funciones accedan a datos que no sean de acceso público deberán observar la necesaria reserva, confidencialidad y sigilo respecto a esos datos, incluso después de haber cesado en sus funciones o finalizado la relación contractual o laboral.
Artículo 11. Uso de instalaciones y equipamiento
1. La Generalitat dotará los puestos de trabajo con el equipamiento informático y de comunicaciones necesario para el desempeño de las funciones encomendadas. Dichos equipos no están destinados al uso personal.
2. El equipamiento mencionado en el apartado anterior no podrá utilizarse para actividades ilícitas o irregulares, o que afecten negativamente al funcionamiento de la Administración o sean contrarias a los intereses de ésta.
3. La instalación o utilización de elementos hardware o software ajenos a los que forman parte de la configuración del puesto de trabajo requerirán una autorización previa por parte del órgano competente en materia de tecnologías de la información que corresponda.
4. Las infraestructuras informáticas y de comunicaciones que no formen parte de los puestos de trabajo deberán ubicarse en áreas separadas, de acceso restringido y suficientemente protegidas de acuerdo con la naturaleza de la información y de los servicios en que intervengan.
Artículo 12. Características de los sistemas de información
1. Los sistemas de información proporcionarán la funcionalidad estrictamente necesaria para cumplir los propósitos declarados, y ninguna más.
2. El uso ordinario de los sistemas de información ha de ser sencillo y seguro, de forma que una utilización insegura requiera de un acto consciente por parte del usuario.
3. Las funciones de operación, administración, mantenimiento y registro de actividad serán las mínimas necesarias, deberán estar descritas y documentadas y sujetas a controles estrictos.
Artículo 13. Protección de la información almacenada y en tránsito
1. La Generalitat, a través de los distintos agentes con responsabilidades específicas en materia de seguridad de la información, establecerá las condiciones para la protección en el tratamiento de información fuera de sus locales y sistemas.
2. La Generalitat garantizará, del mismo modo que el apartado anterior, la conservación y recuperación de la información mientras perdure su vigencia.
3. La información en soporte no electrónico que haya sido causa o consecuencia directa de tratamiento automatizado de información deberá protegerse con el mismo grado de seguridad que ésta.
CAPÍTULO III
Desarrollo
Artículo 14. Desarrollo
1. La presente política se desarrollará en un conjunto de documentos cuyo objetivo es facilitar que el tratamiento de información se realice de acuerdo con los objetivos y principios expuestos en los artículos anteriores.
2. Los documentos mencionados en el punto anterior deberán abordar, al menos, los siguientes aspectos:
a) Condiciones para el acceso a la información.
b) Uso del equipamiento informático y de comunicaciones.
c) Gestión de incidentes y problemas.
d) Continuidad de operaciones.
e) Seguridad con terceros.
f) Clasificación y tratamiento de la información.
g) Análisis y gestión de riesgos.
h) Seguridad física y del personal.
i) Prevención de virus y código malicioso.
j) Ciclo de vida de los sistemas de información.
k) Mejora continua. Niveles de madurez.
l) Elaboración, publicación y revisión de la política de seguridad de la información y de los documentos complementarios.
3. Los documentos mencionados en el punto 1 estarán agrupados en tres colecciones: normas, procedimientos y guías de buenas prácticas.
4. Las normas proporcionarán un primer nivel de concreción; cada una de ellas estará dirigida a un tipo de actividad determinado. Los procedimientos describirán la secuencia concreta de pasos para completar una tarea. Las guías de buenas prácticas ofrecerán recomendaciones sobre cómo actuar en situaciones específicas.
Las normas y los procedimientos tendrán carácter obligatorio. Las posibles excepciones deberán justificarse.
CAPÍTULO IV
Difusión, actualización y obligaciones
Artículo 15. Publicidad, monitorización y revisión
1. La Generalitat dispondrá los medios para publicar, dar a conocer y facilitar el cumplimiento de esta política y de los documentos que la desarrollan, así como para verificar su aplicación y efectividad. Asimismo, habilitará canales de participación que permitan, a los destinatarios de esta política y de los documentos complementarios, participar en su revisión y mejora.
2. Los responsables de seguridad incluirán en sus memorias anuales un apartado sobre el grado de cumplimiento y eficacia de esta normativa y otro proponiendo acciones de mejora. Estas memorias se presentarán al responsable en materia de seguridad de la información que corresponda para que apruebe las actuaciones oportunas.
Artículo 16. Obligaciones del personal
1. La política de seguridad tiene carácter obligatorio para todo el personal al servicio de la Administración de la Generalitat y sus entidades autónomas, especialmente para quienes participen en el tratamiento de información o tengan acceso a los locales donde se custodie la información o se realice su tratamiento.
2. Las circunstancias expuestas en el párrafo anterior son independientes del tipo de relación jurídica o laboral que se mantenga con la administración de la Generalitat y sus entidades autónomas. Cuando el personal afectado por alguna de las condiciones indicadas esté contratado por una empresa de servicios o pertenezca a alguna entidad colaboradora, el cumplimiento de lo dispuesto en esta política se incluirá en los contratos o convenios que regulen dicha relación. Las subcontrataciones deberán contar con la autorización expresa del responsable de la información y en ningún caso eximirán del cumplimiento de esta política.
3. El incumplimiento de la política de seguridad expresada en este decreto podrá tener consecuencias disciplinarias, de acuerdo con el régimen sancionador aplicable en cada caso, sin perjuicio de otras responsabilidades en que se pudiera incurrir.
DISPOSICIONES ADICIONALES
Primera. Relaciones con terceros
Los contratos o convenios a los que se refiere el artículo 16.2 de la presente disposición que se suscriban a partir de la entrada en vigor de este decreto deberán incluir una cláusula de cumplimiento de esta política, junto con un procedimiento de verificación adecuado. Los contratos y convenios firmados con anterioridad a esa fecha serán objeto de revisión en el mismo sentido.
Segunda. Posibilidad de adhesión
El resto del sector público valenciano podrá aplicar esta política de seguridad cuando así lo establezcan sus normas internas de funcionamiento.
DISPOSICIÓN DEROGATORIA
Única. Derogación normativa
Queda derogada la Orden de 3 de diciembre de 1999, de la Conselleria de Justicia y Administración Pública, por la que se aprobó el Reglamento Técnico de Medidas de Seguridad para la Aprobación y Homologación de Aplicaciones y Medios de Tratamiento Automatizado de la Información, en todo lo que se oponga al presente decreto.
Quedan derogadas cuantas disposiciones de igual o inferior rango se opongan a lo dispuesto en el presente decreto.
DISPOSICIONES FINALES
Primera. Desarrollo
Se faculta al conseller o la consellera con competencias horizontales de la Generalitat en materia de tecnologías de la información y comunicación para dictar cuantas disposiciones exija la aplicación y ejecución de este decreto.
Se faculta al conseller o la consellera con competencias en materia de sanidad y salud pública para que desarrolle las disposiciones necesarias para establecer la organización de la seguridad de la información en su ámbito de competencia.
Segunda. Entrada en vigor
El presente decreto entrará en vigor el día siguiente al de su publicación en el Diari Oficial de la Comunitat Valenciana.
Valencia, 27 de abril de 2012
El president de la Generalitat,
ALBERTO FABRA PART
El conseller de Hacienda y Administración Pública,
JOSÉ MANUEL VELA BARGUES