La generalización necesaria de la sociedad de la información, en gran medida, es
subsidiaria de la confianza de los
ciudadanos en los medios electrónicos.En el ámbito de las Administraciones públicas, la consagración del derecho a comunicarse con las nuevas tecnologías, a través de medios electrónicos, comporta una obligación correlativa:
- la promoción de las condiciones para que la libertad y la igualdad sean reales y efectivas,
- y la remoción de los obstáculos que impidan o dificulten su plenitud,
- lo que demanda la aplicación segura de éstas.
- el establecimiento de los principios y requisitos de una política de seguridad en los medios electrónicos que permita la protección adecuada de la información.
- la creación de las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar
- la seguridad de los sistemas,
- los datos,
- las comunicaciones,
- y los servicios electrónicos, que permita a los ciudadanos y a las Administraciones públicas, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.
- persigue fundamentar la confianza en que los sistemas de información
- prestarán sus servicios y
- custodiarán la información de acuerdo con sus especificaciones funcionales,
- sin interrupciones o modificaciones fuera de control,
- y sin que la información pueda llegar al conocimiento de personas no autorizadas.
- Se desarrollará y perfeccionará en paralelo a la evolución de los servicios
- y a medida que vayan consolidándose los requisitos de los mismos y de las infraestructuras que lo apoyan.
- empresas y
- administrados.
Cada sistema
- debe tener claro su perímetro
- y los responsables de cada dominio de seguridad deben coordinarse para evitar
- «tierras de nadie»
- y fracturas que pudieran dañar
- a la información
- o a los servicios prestados.
Seguridad de las redes y de la información es la capacidad de las redes o de los sistemas de información de resistir, con un determinado nivel de confianza, los accidentes o acciones ilícitas o malintencionadas que comprometan
- la disponibilidad,
- autenticidad,
- integridad y
- confidencialidad de los datos almacenados o transmitidos
- y de los servicios que dichas redes y sistemas ofrecen o hacen accesibles.
El Esquema Nacional de Seguridad tiene presentes
- las recomendaciones de la Unión Europea (Decisión 2001/844/CE CECA, Euratom de la Comisión, de 29 de noviembre de 2001, por la que se modifica su Reglamento interno
- y Decisión 2001/264/CE del Consejo, de 19 de marzo de 2001, por la que se adoptan las normas de seguridad del Consejo),
- la situación tecnológica de las diferentes Administraciones públicas,
- así como los servicios electrónicos existentes en las mismas,
- la utilización de estándares abiertos
- y, de forma complementaria, estándares de uso generalizado por los ciudadanos.
- la normativa nacional sobre Administración electrónica,
- protección de datos de carácter personal,
- firma electrónica
- y documento nacional de identidad electrónico,
- Centro Criptológico Nacional,
- sociedad de la información,
- reutilización de la información en el sector público
- y órganos colegiados responsables de la Administración Electrónica;
- así como la regulación de diferentes instrumentos y servicios de la Administración,
- las directrices y guías de la OCDE
- y disposiciones nacionales e internacionales sobre normalización.
La
Ley 11/2007, de 22 de junio, posibilita e inspira esta
norma, a cuyo desarrollo coadyuva, en los aspectos de la seguridad de
los sistemas de tecnologías de la información en las Administraciones
públicas, contribuyendo al desarrollo de un instrumento efectivo que
permite garantizar los derechos de los ciudadanos en la Administración
electrónica.La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y sus normas de desarrollo, determinan las medidas para la protección de los datos de carácter personal. Además, aportan criterios para establecer la proporcionalidad entre las medidas de seguridad y la información a proteger.
La Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, referente legal imprescindible de cualquier regulación administrativa, determina
- la configuración de numerosos ámbitos de confidencialidad administrativos,
- diferentes a la información clasificada
- y a los datos de carácter personal,
- que necesitan ser materialmente protegidos.
- Determina también el sustrato legal de las comunicaciones administrativas y sus requisitos jurídicos de validez y eficacia, sobre los que soportar los requerimientos tecnológicos y de seguridad necesarios para proyectar sus efectos en las comunicaciones realizadas por vía electrónica.
Junto a las disposiciones indicadas, han inspirado el contenido de esta norma, documentos de la Administración en materia de seguridad electrónica, tales como
- los Criterios de Seguridad, Normalización y Conservación,
- las Guías CCN-STIC de Seguridad de los Sistemas de Información y Comunicaciones,
- la Metodología y herramientas de análisis y gestión de riesgos
- o el Esquema Nacional de Interoperabilidad, también desarrollado al amparo de lo dispuesto en la Ley 11/2007, de 22 de junio.
El Real Decreto 3/2010, 8 de enero, por el que se regula el Esquema Nacional de Seguridad en elámbito de la Administración Electrónica, se limita a
establecer los principios básicos y requisitos mínimos que, de acuerdo con
- el interés general,
- naturaleza y
- complejidad de la materia regulada,
- permiten una protección adecuada de la información
- y los servicios, lo que exige
- incluir el alcance y procedimiento para gestionar la seguridad electrónica de los sistemas que tratan información de las Administraciones públicas en el ámbito de la Ley 11/2007, de 22 de junio.
Con todo ello, se consigue un común
denominador normativo, cuya regulación no agota todas las posibilidades
de normación, y permite ser completada, mediante la regulación de los
objetivos, materialmente no básicos, que podrán ser decididos por
políticas legislativas territoriales.Para dar cumplimiento a lo anterior se determinan:
- las dimensiones de seguridad y sus niveles,
- la categoría de los sistemas,
- las medidas de seguridad adecuadas
- y la auditoría periódica de la seguridad;
se establece el papel de la
capacidad de respuesta ante incidentes de seguridad de la información
del Centro Criptológico Nacional,se incluye un glosario de términos
y se hace una referencia expresa a la formación.
Se les une un quinto que establece un modelo de cláusula administrativa particular a incluir en las prescripciones administrativas de los contratos correspondientes.
Se concibe la seguridad como una actividad integral, en la que no caben actuaciones puntuales o tratamientos coyunturales, debido a que la debilidad de un sistema la determina su punto más frágil y, a menudo, este punto es la coordinación entre medidas individualmente adecuadas pero deficientemente ensambladas.
La información tratada en los sistemas electrónicos a los que se refiere este real decreto estará protegida teniendo en cuenta los criterios establecidos en la Ley Orgánica 15/1999, de 13 de diciembre.
Este Real Decreto 3/2010 se aprueba en aplicación de lo dispuesto en la disposición final octava de la Ley 11/2007, de 22 de junio y, de acuerdo con lo dispuesto en el artículo 42 apartado 3 y disposición final primera de dicha norma, se ha elaborado con la participación de todas las Administraciones públicas a las que les es de aplicación, ha sido informado favorablemente por
- la Comisión Permanente del Consejo Superior de Administración Electrónica,
- la Conferencia Sectorial de Administración Pública
- y la Comisión Nacional de Administración Local;
- y ha sido sometido al previo informe de la Agencia Española de Protección de Datos.
- Asimismo, se ha sometido a la audiencia de los ciudadanos según las previsiones establecidas en el artículo 24 de la Ley 50/1997, de 27 de noviembre, del Gobierno.