Gobierno de La Rioja

Núm. 150
BOLETIN OFICIAL DE LA RIOJA
Viernes 6 de noviembre de 2020
CONSEJERÍA DE DESARROLLO AUTONÓMICO
I..109

Decreto 96/2020, de 4 de noviembre, por el que se aprueba la Política de Seguridad de la Información de la Administración de la Comunidad Autónoma de La Rioja

Las relaciones entre la Administración Pública y los ciudadanos se realizan, cada vez más, a través de medios electrónicos, y por ello se habla de Administración Electrónica.

Mediante diversos medios electrónicos y sistemas tecnológicos las administraciones obtienen, tratan, transfieren o intercambian información y también la almacenan.

La necesidad de proteger esa información adquiere aún más fuerza en el momento actual, cuando el uso de las tecnologías de la información y de la comunicación es intensa por parte de las administraciones públicas, que además impulsan su uso a través de las normas que regulan el funcionamiento de su actividad, y cuando los riesgos y las amenazas son grandes.

Además la Política de Seguridad de la Información que se aprueba obedece a la exigencia del cumplimiento de diferentes normas legales y reglamentarias en materia de Seguridad de la Información, como el artículo 14 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, el artículo 156 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, y por el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la administración electrónica, cuyo objeto es el establecimiento de los principios básicos y requisitos mínimos de una política de seguridad en la utilización de medios electrónicos que permita la adecuada protección de la información y la creación de las condiciones necesarias de confianza en su uso.

El Esquema Nacional de Seguridad en el ámbito de la administración electrónica obliga a los órganos superiores de las administraciones públicas a dotarse formalmente de una política de seguridad, que deberá atenerse a los principios básicos y requisitos mínimos que se relacionan en los capítulos II y III del Real Decreto 3/2010, de 8 de enero, que lo aprueba.

Así mismo el nuevo Reglamento (UE), 2016/679 del Parlamento Europeo y del Consejo, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, establecen un serie de garantías, en defensa del derecho fundamental a la protección de los datos de carácter personal.

Esta norma que ahora se aprueba viene a sustituir a la anterior aprobada por Decreto 40 /2014, de 3 de octubre, por el que se aprueba la Política de Seguridad de la Información de la Administración de la comunidad Autónoma de La Rioja y a adaptarla a los cambios normativos ocurridos tras su aprobación.

El artículo 8.uno.1 y 2 de la Ley orgánica 3/1982, de 9 de junio, de Estatuto de Autonomía de La Rioja establece que corresponde a la Comunidad Autónoma de La Rioja la competencia exclusiva en las materias de organización, estructura, régimen y funcionamiento de sus instituciones de autogobierno, y en el procedimiento administrativo derivado de las especialidades de la organización propia de La Rioja. Por ello, en ejercicio de la potestad reglamentaria atribuida al Gobierno en el artículo 24 del citado Estatuto de Autonomía de la Comunidad Autónoma de La Rioja, resulta procedente la elaboración del reglamento propuesto, que dispone de la suficiente cobertura legal, y entra dentro del ámbito competencial de la Comunidad Autónoma de La Rioja.

El Decreto 46/2020, de 3 de septiembre, por el que se establece la estructura orgánica de la Consejería de Desarrollo Autonómico y sus funciones en desarrollo de la Ley 3/2003, de 3 de marzo, de Organización del Sector Público de la Comunidad Autónoma de La Rioja establece en su artículo 8 las funciones generales y específicas que corresponden a la Dirección General para el Avance Digital (DGAD). Dentro de las funciones específicas que asigna a la DGAD se encuentra, entre otras, la citada en el artículo 8.2.6, apartado l) 'La dirección, diseño, desarrollo, implantación, mantenimiento y gestión de las políticas de seguridad para los sistemas de información conectados a la red corporativa'.

En su virtud, el Consejo de Gobierno, a propuesta del Consejero de Desarrollo Autonómico, y previa deliberación de sus miembros, en su reunión del día 4 de noviembre de 2020, acuerda aprobar el siguiente,

DECRETO

Artículo Único.

Se aprueba la política de Seguridad de la Información de la Administración de la Comunidad Autónoma de La Rioja, en los términos recogidos en el Anexo.

Disposición adicional única. Deber de colaboración.

Todos los órganos y unidades administrativas de la Administración de la Comunidad Autónoma de La Rioja deberán colaborar en las acciones de implementación de esta política de seguridad.

Disposición derogatoria única. Derogación normativa.

Queda derogado el Decreto 40/2014, de 3 de octubre, por el que se aprueba la Política de Seguridad de la Información de la Administración de la Comunidad Autónoma de La Rioja.

Así mismo queda derogada la Orden 3/2014, de 9 de enero, de la Consejería de Administración Pública y Hacienda, por la que se crea y regula el Comité de Seguridad de la información del Gobierno de La Rioja

Disposición final Primera. Facultad de desarrollo.

Se faculta al titular de la Consejería con competencias en materia de tecnologías de la información para dictar cuantas disposiciones exija la aplicación y ejecución de este Decreto.

Disposición final segunda. Entrada en vigor.

El presente Decreto entrará en vigor el día siguiente al de su publicación en el 'Boletín Oficial de La Rioja'.

Logroño a 4 de noviembre de 2020.- La Presidenta, Concepción Andreu Rodríguez.- El Consejero de Desarrollo Autonómico, José Ignacio Castresana Ruiz-Carrillo.

ANEXO

Política de seguridad de la información de la Administración de la Comunidad Autónoma de La Rioja

Introducción

La información constituye un activo de primer orden para el Gobierno de La Rioja ya que resulta imprescindible para la prestación de los servicios públicos. Por su parte, las tecnologías de la información y las comunicaciones se han hecho imprescindibles para las administraciones públicas ya que contribuyen a la obtención, intercambio, tratamiento y almacenamiento de esa información. Sin embargo, las mejoras que aportan las TIC al tratamiento de la información vienen acompañadas de nuevos riesgos. Por esa razón es necesario introducir medidas específicas para proteger tanto la información como los servicios que dependen de ella.

La seguridad de la información tiene como objetivo proteger la información y los servicios, reduciendo los riesgos a los que están sometidos hasta un nivel que resulte aceptable. El presente documento establece la Política de Seguridad de la Información de la Administración de la Comunidad Autónoma de La Rioja que constituye el marco de referencia orientado a facilitar la definición, gestión, administración e implementación de los mecanismos y procedimientos de seguridad establecidos en el Esquema Nacional de Seguridad.

Con ello se pretende lograr el alineamiento estratégico de la gestión de la seguridad de la información con las normas internacionales y las regulaciones legislativas existentes en la materia.

1 Misión y objetivos de la Política de Seguridad de la Información

Uno de los objetivos fundamentales de la implantación de esta Política de Seguridad es establecer las bases sobre las que tanto empleados públicos como ciudadanos puedan acceder a los servicios públicos en un entorno seguro y de confianza.

La Política de Seguridad de la Información define el marco global para la gestión de la seguridad de la información protegiendo todos los activos de información y garantizando la continuidad en el funcionamiento de los de los sistemas. Se pretende de esta forma minimizar los riesgos derivados de una posible falla en la seguridad y asegurar el cumplimiento de los objetivos del Gobierno de La Rioja ante un hipotético incidente de seguridad de la información.

Para ello, se establecen los siguientes objetivos generales en materia de seguridad de la información:

1. Contribuir desde la gestión de la seguridad al cumplimiento de la misión y objetivos establecidos por el Gobierno de La Rioja.

2. Disponer de las medidas de control necesarias para garantizar el cumplimiento de los requisitos legales que sean de aplicación como consecuencia de la actividad desarrollada, especialmente en lo relativo a la protección de datos de carácter personal y a la prestación de servicios a través de medios electrónicos o telemáticos.

3. Asegurar la accesibilidad, confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad de la información.

4. Asegurar la prestación continuada de los servicios, tanto de forma preventiva como de forma reactiva ante los incidentes de seguridad.

5. Proteger los activos de información de la Administración de la Comunidad Autónoma de La Rioja y la tecnología que los soporta frente a cualquier amenaza, intencionada o accidental, interna o externa, con el fin de asegurar la confidencialidad, integridad y disponibilidad de los mismos.

Esta Política de Seguridad asegura un compromiso continuo y manifiesto del Gobierno de La Rioja y todas sus instituciones, para la difusión y consolidación de la cultura de la seguridad.

2 Alcance

Esta Política de seguridad se aplicará a la Administración de la Comunidad Autónoma de La Rioja. A estos efectos se entiende por Administración de la Comunidad Autónoma de La Rioja:

a) La Administración General de La Rioja

b) Los Organismos Públicos adscritos a la Administración General

Los demás entes integrantes del sector público de la Comunidad Autónoma de La Rioja podrán aplicar esta política de seguridad cuando así lo acuerden o lo establezcan sus normas internas de funcionamiento.

Esta política afectará a la información y datos tratados por medios electrónicos y en soporte papel que gestiona la Administración de la Comunidad Autónoma de La Rioja en el ejercicio de sus competencias.

3 Marco Normativo

Sin carácter exhaustivo, la legislación en materia de seguridad de la información que debe servir de referencia es la siguiente:

- Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y por el que se deroga la Directiva 95/46/CE.

- Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos de Personales y Garantía de los Derechos Digitales.

- Ley 39/2105, de 1 de octubre, de Procedimiento Administrativo Común de las Administraciones Públicas.

- Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.

- Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.

4 Revisión de la política

En relación a las revisiones que puedan realizarse sobre la redacción del texto que constituye la política de seguridad de la información, se distinguirán dos tipos de actividades:

- Revisiones periódicas sistemáticas: Deberán realizarse cuando se detecten incidencias o cambios en el marco legal que puedan cuestionar la validez de dicha Política. La revisión de la Política de Seguridad de la Información deberá garantizar que ésta se encuentra alineada con la estrategia, la misión y visión del Gobierno de La Rioja en materia de seguridad de la información y que asegura el cumplimiento de los objetivos de control establecidos.

Las revisiones periódicas se realizarán, al menos, con una periodicidad anual.

- Revisiones no planificadas: Estas revisiones deberán realizarse en respuesta a cualquier evento o incidente de seguridad que pudiera suponer un incremento significativo del nivel de riesgo actual o haya causado un impacto en la seguridad de la información del Gobierno de La Rioja.

5 Organización interna de la seguridad

La estructura organizativa para la gestión de la seguridad de la información está integrada de la forma que se detalla a continuación:

- Comité de Seguridad de la Información.

- Responsable de la Información.

- Responsable del Servicio

- Responsable de Seguridad

- Responsable de Sistemas

6 Comité de Seguridad de la Información

1. El Comité de Seguridad de la Información del Gobierno de La Rioja, en adelante CSI-CAR, se compone de los siguientes miembros:

a) Presidente: El titular de la Dirección General competente en materia de tecnologías de la información y las comunicaciones. En caso de vacante, ausencia o enfermedad será sustituido por el miembro del Comité de mayor jerarquía, antigüedad y edad, por ese orden.

b) Vocales: Los titulares de cada una de las Secretarías Generales Técnicas y el Delegado de Protección de Datos de la Administración General y Organismos Públicos de la Comunidad Autónoma de La Rioja.

c) El Secretario será nombrado por el titular de la Dirección General competente en materia de tecnologías de la información y la comunicación entre personal de la misma Dirección General. En caso de vacante, ausencia o enfermedad, su suplente será designado de igual modo por el mismo órgano.

2. Los titulares de cada una de las Secretarías Generales Técnicas, las personas que ocupen los puestos de Delegados de Protección de Datos, podrán designar los correspondientes asesores que acudirán a las reuniones con voz, pero sin voto. El Presidente del Comité podrá proponer otras personas que podrán asistir a las reuniones en calidad de asesores con voz, pero sin voto.

3. Cuando lo justifique la complejidad, la separación física de sus elementos o el número de usuarios de la información en soporte electrónico, o de los sistemas que la manejen, podrán crearse «Comités de Seguridad delegados», dependientes funcionalmente del CSI-CAR que serán responsables en su ámbito de las actuaciones que se les deleguen.

4. Al Comité de Seguridad de la Información del Gobierno de La Rioja le corresponden funciones de asesoramiento, consultoría y propuesta en materia de seguridad de la información.

En particular le corresponde:

a) Informar regularmente del estado de la seguridad de la información al Gobierno de La Rioja.

b) Promover la mejora continua del sistema de gestión de la seguridad de la información.

c) Coordinar los esfuerzos de las diferentes áreas en materia de seguridad de la información evitando duplicidades.

d) Elaborar y revisar regularmente la Política y Organización de la Seguridad de la Información para que sea aprobada por el Gobierno de La Rioja.

e) Proponer la aprobación de la normativa de seguridad de la información.

f) Promover la realización de las auditorías periódicas que permitan verificar el cumplimiento de las obligaciones del organismo en materia de seguridad.

g) Proponer planes de mejora de la seguridad de la información de la organización.

h) Velar porque la seguridad de la información se tenga en cuenta en todos los proyectos de tecnologías de la información desde su especificación inicial hasta su puesta en operación y posterior mantenimiento, así como en la preservación de la información que sea requerida tras el cese en la utilización del mismo.

i) Divulgar la Política de Seguridad de la Información y normativas e instrucciones de seguridad de la información aprobadas.

5. El Comité de Seguridad de la Información del Gobierno de La Rioja se reunirá con carácter ordinario una vez al semestre y podrá reunirse con carácter extraordinario en alguno de los siguientes supuestos:

a) A instancia del Presidente.

b) Cuando aparezcan incidencias de seguridad graves o surjan nuevas necesidades de seguridad que requieran la participación de los componentes del Comité.

6. El Comité de Seguridad de la Información ajustará su funcionamiento a las previsiones relativas a los órganos colegiados contenidas en la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.

7 Responsable de la información

El Responsable de la Información será el titular del órgano administrativo con competencia suficiente para decidir sobre el uso que se haga de una cierta información y, por tanto, de su protección, y determinará dentro del marco establecido en el Anexo I del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica los requisitos de seguridad de la información tratada. A tal efecto:

a) Determinará los requisitos de seguridad que deban ser garantizados en el tratamiento de la información de la que él es responsable.

b) Valorará para cada información contemplada en el análisis de riesgos las diferentes dimensiones de la seguridad.

c) Aceptarán los riesgos residuales calculados en el análisis de riesgos respecto de la información.

d) Realizarán el seguimiento y control de los riesgos con la ayuda del Responsable de Seguridad

8 Responsable del servicio

El Responsable del Servicio será el titular del órgano administrativo con competencia suficiente para decidir sobre la finalidad y prestación del servicio y determinará dentro del marco establecido en el Anexo I del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica los requisitos de seguridad de los servicios prestados. A tal efecto:

a) Realizarán, junto a los Responsables de la Información y el de seguridad, los preceptivos análisis de riesgos, y seleccionarán las salvaguardas que se han de implantar.

b) Aceptarán los riesgos residuales respecto de la información, calculados en el análisis de riesgos.

c) Realizarán el seguimiento y control de los riesgos, con la participación del Responsable de Seguridad.

d) Suspender, de acuerdo con el Responsable de la Información y el Responsable de Seguridad, la prestación de un servicio electrónico o el manejo de una determinada información, si es informado de deficiencias graves de seguridad.

9 Responsable de seguridad

El Responsable de Seguridad será designado por el titular del órgano con competencias en materia de tecnologías de la información entre personal adscrito a dicho órgano.

Tendrá las siguientes funciones:

a) Mantener la seguridad de la información manejada y de los servicios electrónicos prestados por los sistemas de información.

b) Verificar que las medidas de seguridad son adecuadas para la protección de la información y los servicios.

c) Impulsar el cumplimiento del cuerpo normativo definido en el punto 3, así como velar por el mantenimiento de la documentación de seguridad y la gestión de mecanismos de acceso a la misma.

d) Mantener un inventario actualizado de las normas de primer y segundo nivel detalladas en el apartado 13, de los nombramientos derivados de la presente orden, así como de los informes de auditorías, autoevaluaciones y análisis de riesgos realizados y de las declaraciones y certificaciones de seguridad.

e) Apoyar y supervisar la investigación de los incidentes de seguridad desde su notificación hasta su resolución.

f) Elaborar informes periódicos de seguridad que incluyan los incidentes más relevantes de cada período.

g) Promover la mejora continua en la gestión de la seguridad de la información.

h) Impulsar la formación y concienciación en materia de seguridad de la información.

i) Aprobar la declaración de aplicabilidad, que comprende la relación de medidas de seguridad seleccionadas para un sistema.

j) Realizar los preceptivos análisis de riesgos y mantenerlos actualizados según la legislación vigente.

k) Promover auditorías periódicas para verificar el cumplimiento de las obligaciones en materia de seguridad de la información, y analizar los informes de auditoría, elaborando las conclusiones a presentar a los Responsables del Servicio y los Responsables de la Información para que adopten las medidas correctoras adecuadas bajo su responsabilidad.

l) Cualesquiera otras funciones que el Real Decreto 3/2010, de 8 de enero, asigne a los responsables de seguridad.

Cuando lo justifique la complejidad, la separación física de sus elementos o el número de usuarios de la información en soporte electrónico, o de los sistemas que la manejen, podrán designarse «responsables de seguridad delegados», dependientes funcionalmente del responsable principal, que serán responsables en su ámbito de las actuaciones que se les deleguen.

10 Responsable del sistema

El Responsable de Sistema, será el titular del órgano con competencias en materia de sistemas y tecnologías de la información, y tiene las siguientes funciones:

a) Desarrollar, operar y mantener el sistema de información durante todo su ciclo de vida, incluyendo sus especificaciones, instalación y verificación de su correcto funcionamiento.

b) Definir la topología y la gestión del sistema de información, estableciendo los criterios de uso y los servicios disponibles en el mismo.

c) Cerciorarse de que las medidas de seguridad se integren adecuadamente en el marco general de seguridad

d) Suspender el manejo de una determinada información o la prestación de un servicio electrónico si es informado de deficiencias graves de seguridad, previo acuerdo con el responsable de dicha información o servicio, según proceda, y con el responsable de seguridad.

Cuando lo justifique la complejidad, la separación física de sus elementos o el número de usuarios de la información en soporte electrónico, o de los sistemas que la manejen, el responsable del Sistema podrá designar «responsables de sistema delegados», dependientes funcionalmente del responsable principal, que se harán cargo, en su ámbito competencial, de todas aquellas acciones delegadas por el Responsable del Sistema relacionadas con la operación, mantenimiento, instalación y verificación del correcto funcionamiento del sistema de información. El responsable principal seguirá siendo el responsable.

11 Datos de carácter personal

Cuando un sistema al que afecte el Esquema Nacional de Seguridad maneje datos de carácter personal, le será de aplicación lo dispuesto en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y por el que se deroga la Directiva 95/46/CE, la Ley Orgánica 3/2018, de de diciembre, de Protección de Datos de Personales y Garantía de los Derechos Digitales, y el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, en lo que le afecte.





12 Gestión de riesgos

Todos los sistemas sujetos a esta Política deberán ser sometidos a un análisis y gestión de riesgos, evaluando los activos, amenazas y vulnerabilidades a los que están expuestos y proponiendo las contramedidas adecuadas para mitigar los riesgos. Aunque se precisa un control continuo de los cambios realizados en los sistemas, este análisis se repetirá:

- al menos una vez al año (mediante revisión y aprobación formal).

- cuando cambie la información manejada

- cuando cambien los servicios prestados

- cuando ocurra un incidente grave de seguridad

- cuando se reporten vulnerabilidades graves

Para la armonización de los análisis de riesgos, se establecerá una valoración de referencia para los diferentes tipos de información manejados y los diferentes servicios prestados.

13 Instrumentos de desarrollo

Se establece un marco normativo en materia de seguridad de la información estructurado por diferentes niveles de forma que los objetivos marcados por el presente documento tengan un desarrollo específico.

La política de seguridad estructurará su marco normativo en los siguientes niveles:

Primer nivel: Está constituido por la presente Política de Seguridad de la Información que establece los requisitos y criterios de protección de carácter global.

Segundo nivel: Las normas de seguridad que definen qué hay que proteger y los requisitos de seguridad deseados. El conjunto de todas las normas de seguridad debe cubrir la protección de todos los entornos de los sistemas de información de la organización. Establecen un conjunto de expectativas y requisitos que deben ser alcanzados para poder satisfacer y cumplir cada uno de los objetivos de seguridad establecidos en la política.

Tercer nivel: Está constituido por procedimientos, guías e instrucciones técnicas en los que se describirá de forma concreta cómo proteger lo definido en las normas y las personas o grupos responsables de la implantación, mantenimiento y seguimiento de su nivel de cumplimiento. Son documentos que especifican cómo llevar a cabo las tareas habituales, quién debe hacer cada tarea y cómo identificar y reportar comportamientos anómalos.

14 Obligaciones del personal

Todo el personal con responsabilidad en el uso, operación, o administración de sistemas de tecnologías de la información y las comunicaciones tienen la obligación de conocer y cumplir esta Política de Seguridad de la Información y la normativa de seguridad derivada, independientemente del tipo de relación jurídica que les vincule con la Administración General y con sus organismos Públicos.

Todas las personas recibirán formación para el manejo seguro de los sistemas en la medida en que la necesiten para realizar su trabajo.

La Política de Seguridad estará accesible para todo el personal que preste sus servicios en los órganos y entidades a que se refiere el punto relativo al 'Alcance'.

Con el objetivo de fomentar la 'Cultura de la seguridad', el Comité de Seguridad de la Información promoverá un programa de concienciación continúa para formar a todo el personal.

El incumplimiento de la Política de Seguridad y su normativa de desarrollo dará lugar al establecimiento de medidas preventivas y correctivas encaminadas a salvaguardar y proteger las redes y sistemas de información, sin perjuicio de la correspondiente exigencia de responsabilidad disciplinaria.

¿Te ha resultado útil el contenido de esta página?
¡Gracias por tu valoración!
Al 64% de las personas esto les resultó útil.
Subir