Diario Oficial de la Provincia de Cádiz del 17/9/2020
Text version What is this?Dateas is an independent website not affiliated with any government agency. The source of the PDF documents that we publish is the official agency stated in each of them. The text versions are non official transcripts that we do to provide better tools for accessing and searching information, but may contain errors or may not be complete.
Source: Diario Oficial de la Provincia de Cádiz
17 de septiembre de 2020
B.O.P. DE CADIZ NUM. 179
- Real Decreto 951/2015, de 23 de octubre, de modificación del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.
- Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la Administración Electrónica.
- Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
- Reglamento UE 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE Reglamento general de protección de datos - Ley 59/2003, de 19 de diciembre, de Firma Electrónica.
- Reglamento Europeo de Firma Electrónica eIDAS. Reglamento UE 910/2014 del Parlamento Europeo y del Consejo.
- Real Decreto 1553/2005, de 23 de diciembre, por el que se regula el documento nacional de identidad y sus certificados de firma electrónica.
- Ley 9/2014, de 9 de mayo, General de Telecomunicaciones.
- Ordenanza Reguladora de la Administración Electrónica del Ayuntamiento de Chiclana de la Frontera.
4. Principios y directrices
Los principios que deben contemplarse a la hora de garantizar la seguridad de la información son la prevención, la detección, la respuesta y la recuperación, de manera que las amenazas existentes no se materialicen o en caso de materializarse, no afecten gravemente a la información que maneja, o los servicios que se prestan.
4.1 Prevención
Se debe evitar, o al menos prevenir en la medida de lo posible, que la información o los servicios se vean perjudicados por incidentes de seguridad. Para ello, deberán implementarse las medidas mínimas de seguridad determinadas por el ENS, así como cualquier control adicional identificado a través de una evaluación de amenazas y riesgos. Estos controles, y los roles y responsabilidades de seguridad de todo el personal, deben estar claramente definidos y documentados.
Para garantizar el cumplimiento de la política, los departamentos deben:
- Autorizar los sistemas antes de entrar en operación.
- Evaluar regularmente la seguridad, incluyendo evaluaciones de los cambios de configuración realizados de forma rutinaria.
- Solicitar la revisión periódica por parte de terceros con el fin de obtener una evaluación independiente.
4.2 Detección
Dado que los servicios se pueden degradar rápidamente debido a incidentes, que van desde una simple ralentización hasta su detención, se debe monitorizar el funcionamiento de manera continua para detectar anomalías en los niveles de prestación de los servicios y actuar en consecuencia según lo establecido en el Artículo 9 del ENS.
La monitorización es especialmente relevante cuando se establecen líneas de defensa de acuerdo con el Artículo 8 del ENS.
Se establecerán mecanismos de detección, análisis y reporte que lleguen a los responsables regularmente y cuando se produzca una desviación significativa de los parámetros que se hayan preestablecido como normales.
4.3 Respuesta Se deben:
- Establecer mecanismos para responder eficazmente a los incidentes de seguridad.
- Designar punto de contacto para las comunicaciones con respecto a incidentes detectados en otros departamentos o en otros organismos.
- Establecer protocolos para el intercambio de información relacionada con el incidente.
Esto incluye comunicaciones, en ambos sentidos, con los Equipos de Respuesta a Emergencias CERT.
4.4 Recuperación
Para garantizar la disponibilidad de los servicios críticos, se deben desarrollar planes de continuidad de los sistemas TIC y actividades de recuperación.
Los sistemas dispondrán de copias de seguridad y establecerán los mecanismos necesarios para garantizar la continuidad de las operaciones, en caso de pérdida de los medios habituales de trabajo.
4.5 Otros principios generales:
- El análisis y gestión de riesgos será parte esencial del proceso de seguridad y deberá mantenerse permanentemente actualizado.
- La información debe ser protegida contra accesos y alteraciones no autorizados, manteniéndola confidencial e íntegra.
- La información debe estar disponible, permitiendo su acceso autorizado, siempre que sea necesario.
- La Seguridad de la Información es responsabilidad de todos. Todas las personas que tienen acceso a la información del Ayuntamiento deben de protegerla, por lo que deben estar adecuadamente formadas y concienciadas.
- La Seguridad de la Información no es algo estático, debe ser constantemente controlada y periódicamente revisada.
- Todos aquellos activos infraestructura, soportes, sistemas, comunicaciones, etc. donde reside la información, viaja o es procesada, deben estar adecuadamente protegidos.
- El sistema ha de proteger el perímetro, en particular, si se conecta a redes públicas, según lo establecido en el artículo 22 del ENS.
- Las medidas de seguridad que se implanten deben estar en proporción a la criticidad de la información que protejan y a los daños o pérdidas que se pueden producir en ella.
En todo momento se seguirá como mínimo las medidas de seguridad impuestas por el ENS, así como las guías CCN-STIC elaboradas por el Centro Criptológico Nacional del Centro Nacional de Inteligencia.
- La seguridad de los sistemas estará atendida, revisada y auditada por personal cualificado, dedicado e instruido en todas las fases de su ciclo de vida. Además, el Ayuntamiento de Chiclana exigirá, de manera objetiva y no discriminatoria, que las organizaciones que les presten servicios de seguridad cuenten con profesionales
Página 3
cualificados y con unos niveles idóneos de gestión y madurez en los servicios prestados.
- Los sistemas se instalarán en áreas separadas, dotadas de un procedimiento de control de acceso. Como mínimo, las salas deben estar cerradas y disponer de un control de llaves o códigos.
- En la adquisición de productos de seguridad de las tecnologías de la información y comunicaciones que vayan a ser empleados por las Administraciones públicas se estará a lo dispuesto en el artículo 18 del ENS.
- Los sistemas deben diseñarse y configurarse de forma que se garantice la seguridad por defecto tal y como se exige en el artículo 19 del ENS.
- El tratamiento de datos de carácter personal debe estar siempre de acuerdo con las leyes aplicables en cada momento, siendo especialmente importante el RGPD.
5. Organización de la Seguridad de la Información
La estructura organizativa de la gestión de la seguridad de la información en el ámbito de la seguridad de la información del Ayuntamiento está compuesta por los siguientes agentes:
a Comité de Gestión de la Seguridad de la Información CS.
b Responsable de Seguridad RS.
c Responsables de la Información y de los Servicios RISS.
d Responsables del Sistema de Información RSI.
e Delegado de Protección de Datos DPD.
f Responsable del Tratamiento RT.
5.1 Comité de Gestión de la Seguridad de la Información CS
Para la gestión de la Seguridad de la Información, se crea el Comité de Gestión de la Seguridad de la Información, en adelante el Comité de Seguridad CS, dentro del ámbito de la presente Política de Seguridad formado por un equipo multidisciplinar que coordinará las actividades y controles de seguridad establecidos en el Ayuntamiento y que vela por el cumplimiento de la normativa vigente, interna y externa, en materia de protección de datos de carácter personal y seguridad.
Son funciones del Comité de Seguridad CS:
a Identificar los objetivos del Ayuntamiento en el ámbito de la Seguridad de la Información.
b Elaborar la Política de Seguridad, establecer los criterios de revisión de la misma, revisarla, distribuirla y velar por su cumplimiento.
c Promover y respaldar los planes de acción e iniciativas que garanticen la implantación de la Política de Seguridad en el Ayuntamiento.
d Establecer los requisitos de seguridad que deben cumplir a nivel organizativo, técnicos y de control, los sistemas y servicios del Ayuntamiento.
e Garantizar que la seguridad, forma parte del proceso de planificación de la gestión de la información y como proceso integral constituido por todos los elementos técnicos, humanos, materiales y organizativos relacionados con los sistemas de información.
f Comunicar a los terceros que colaboren en la explotación de los sistemas de información, la realización de dicha explotación, conforme a los requisitos exigidos en el ENS.
g Proponer los nombramientos y ceses de responsables y responsabilidades en materia de seguridad de la información.
h Valorar el grado de conformidad de los procedimientos implantados en el Ayuntamiento con las normas definidas en la política, estableciendo planes de mejora para aquellos que requieran de una modificación para su conformidad.
i Aprobar y supervisar las normativas y procedimientos de seguridad, que se definan para dar cumplimiento y desarrollo a la Política de Seguridad.
j Acordar y aprobar metodologías y procesos específicos relativos a la Seguridad de la Información.
k Verificar que todas las acciones llevadas a cabo en materia de Seguridad sean compatibles o se encuentren respaldadas por la Política de Seguridad.
l Promover la realización de auditorías periódicas que permitan verificar el cumplimiento de las obligaciones de las Administraciones en materia de Seguridad.
m Promover la formación y concienciación en materia de Seguridad de la Información a todo el personal.
n Mantener contactos periódicos con grupos, otras entidades, organismos, foros, etc., que resulten de interés en el ámbito de la Seguridad de la Información, compartiendo experiencias y conocimiento que ayuden a mejorar y mantener la seguridad de los sistemas del Ayuntamiento.
o Valorar y evaluar los recursos necesarios para dar soporte al proceso de planificación e implantación de la seguridad en el Ayuntamiento.
El Comité de Seguridad CS, se reunirá con carácter ordinario, al menos una vez al año, pudiéndose reunir de manera extraordinaria, por razones de urgencia y causa justificada, en periodos inferiores.
Para la celebración de las reuniones del Comité de Seguridad CS será preciso la presencia de, al menos, el 51% de los miembros permanentes.
5.2 Responsable de Seguridad RS
Es el responsable de que los servicios y sistemas de información del Ayuntamiento, se mantengan con el mayor grado de seguridad atendiendo a los principios de:
a Confidencialidad: la información asociada a los servicios electrónicos al ciudadano solo debe poder ser conocida por las personas autorizadas para ello.
b Integridad: la información asociada a los servicios electrónicos al ciudadano no debe ser alterada por personas no autorizadas.
c Disponibilidad: garantía de que los usuarios autorizados tengan acceso a la información y a los recursos relacionados con la misma siempre que lo requieran, así como garantía de que los servicios relativos a la Administración Electrónica permanecerán disponibles.
Son funciones del Responsable de Seguridad RS:
a Mantener la seguridad de la información manejada y de los servicios prestados por los sistemas de información en su ámbito de responsabilidad.
