Ir al contenido principal

Seguridad de los sistemas de comunicación electrónico en la Administración y Normas de Conformidad

Resultado de imagen de Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica

Según el artículo 35  Informe del estado de la seguridad del RD 3/2010, el Comité Sectorial de Administración Electrónica recogerá la información relacionada con el estado de las principales variables de la seguridad en los sistemas de información a los que se refiere el Real Decreto, de forma que permita elaborar un perfil general del estado de la seguridad en la Administración pública.
 
El Centro Criptológico Nacional es el encargado de 
  • articular los procedimientos necesarios para la recogida y consolidación de la información, 
  • así como los aspectos metodológicos para su tratamiento y explotación, 
a través de los correspondientes grupos de trabajo que se constituyan para ello 
  • en el Comité Sectorial de Administración Electrónica 
  • y en la Comisión de Estrategia TIC para la Administración General del Estado.

De la capacidad de respuesta a incidentes de seguridad de la información trata el Artículo 36. 
El Centro Criptológico Nacional (CCN) articulará la respuesta a los incidentes de seguridad en torno a la estructura denominada CCN-CERT (Centro Criptológico Nacional-Computer Emergency Reaction Team), que actuará sin perjuicio de las capacidades de respuesta a incidentes de seguridad que pueda tener cada administración pública y de la función de coordinación a nivel nacional e internacional del CCN.

Las Administraciones Públicas notificarán al Centro Criptológico Nacional los incidentes que tengan un impacto significativo en 
  • la seguridad de la información manejada 
  • y de los servicios prestados en relación con la categorización de sistemas.
En cuanto a la prestación de servicios de respuesta a incidentes de seguridad a las Administraciones públicas. Conforme a lo previsto en el artículo 36, el CCN-CERT prestará a las Administraciones públicas los servicios siguientes:
  • a) Soporte y coordinación 
    • para el tratamiento de vulnerabilidades  
    • y la resolución de incidentes de seguridad que tengan 
      • la Administración General del Estado, 
      • las Administraciones autonómicas, 
      • las entidades de la Administración Local 
      • y las Entidades de Derecho público con personalidad jurídica propia vinculadas o dependientes de cualquiera de las administraciones indicadas.
  • El CCN-CERT, a través de su servicio de apoyo técnico y de coordinación, actuará con la máxima celeridad ante cualquier agresión recibida en los sistemas de información de las Administraciones públicas.
     
    Para el cumplimiento de los fines indicados se podrán recabar
    • informes de auditoría de los sistemas afectados, 
    • registros de auditoría, 
    • configuraciones 
    • y cualquier otra información que se considere relevante, 
    • así como los soportes informáticos que se estimen necesarios para la investigación del incidente de los sistemas afectados, sin perjuicio de lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre , de Protección de Datos de carácter personal, y su normativa de desarrollo, así como de la posible confidencialidad de datos de carácter institucional u organizativo.
     
  • b) Investigación y divulgación de las mejores prácticas sobre seguridad de la información entre todos los miembros de las Administraciones públicas. Con tal finalidad, las series de documentos CCN-STIC (Centro Criptológico Nacional-Seguridad de las Tecnologías de Información y Comunicaciones), elaboradas por el Centro Criptológico Nacional, ofrecerán 
    • normas, 
    • instrucciones, 
    • guías y 
    • recomendaciones para 
      • aplicar el Esquema Nacional de Seguridad y 
      • para garantizar la seguridad de los sistemas de tecnologías de la información en la Administración.
  • c) Formación destinada al personal de la Administración especialista en el campo de la seguridad de las tecnologías de la información, para 
    • facilitar la actualización de conocimientos del personal de la Administración 
    • y lograr la sensibilización 
    • y mejora de sus capacidades para la detección y gestión de incidentes.
  • d) Información sobre 
    • vulnerabilidades, 
    • alertas y 
    • avisos de nuevas amenazas a los sistemas de información, recopiladas de diversas fuentes de reconocido prestigio, incluidas las propias.
El CCN ha de desarrollar un programa que ofrezca
  • la información, 
  • formación, 
  • recomendaciones y 
  • herramientas necesarias para que las Administraciones públicas puedan desarrollar sus propias capacidades de respuesta a incidentes de seguridad, y en el que, aquél, será coordinador a nivel público estatal.

Imagen relacionada 

Normas de conformidad

El artículo 38 trata sobre las sedes y registros electrónicos. La seguridad de las sedes y registros electrónicos, así como la del acceso electrónico de los ciudadanos a los servicios públicos, se regirán por lo establecido en el Esquema Nacional de Seguridad.
Las especificaciones de seguridad se incluirán en el ciclo de vida de los servicios y sistemas, acompañadas de los correspondientes procedimientos de control.
Cada órgano de la Administración pública o Entidad de Derecho Público establecerá sus mecanismos de control para garantizar de forma real y efectiva el cumplimiento del Esquema Nacional de Seguridad.

Los órganos y Entidades de Derecho Público darán publicidad en las sus sedes electrónicas 
  • a las declaraciones de conformidad, y 
  • a los distintivos de seguridad de los que sean acreedores, obtenidos respecto al cumplimiento del Esquema Nacional de Seguridad (Artículo 41 Publicación de conformidad).

Imagen relacionadaActualización

El Esquema Nacional de Seguridad se deberá mantener actualizado de manera permanente. Se desarrollará y perfeccionará a lo largo del tiempo, en paralelo al progreso
  • de los servicios de Administración electrónica, 
  • de la evolución tecnológica 
  • y nuevos estándares internacionales sobre seguridad 
  • y auditoría en los sistemas 
  • y tecnologías de la información 
  • y a medida que vayan consolidándose las infraestructuras que le apoyan (Artículo 42 Actualización permanente).

Categorización de los sistemas de información

En materia de seguridad, la categoría de un sistema de información, modulará el equilibrio entre
  • la importancia de la información que maneja, 
  • los servicios que presta 
  • y el esfuerzo de seguridad requerido, 
en función de los riesgos a los que está expuesto, bajo el criterio del principio de proporcionalidad.

La determinación de la categoría se efectuará en función de la valoración del impacto que tendría un incidente que afectara a la seguridad de la información o de los servicios con perjuicio para
  • la disponibilidad, 
  • autenticidad, 
  • integridad, 
  • confidencialidad o 
  • trazabilidad, 
como dimensiones de seguridad.


La valoración de las consecuencias de un impacto negativo sobre
  • la seguridad de la información 
  • y de los servicios 
se efectuará atendiendo a su repercusión en
  • la capacidad de la organización para el logro de sus objetivos, 
  • la protección de sus activos, 
  • el cumplimiento de sus obligaciones de servicio, 
  • el respeto de la legalidad 
  • y los derechos de los ciudadanos.
La facultad para efectuar las valoraciones así como la modificación posterior, en su caso, corresponderá, dentro del ámbito de su actividad, al responsable de cada información o servicio; y la facultad para determinar la categoría del sistema corresponderá al responsable del mismo.



Etiquetas:

Entradas populares de este blog

Finalidad del archivo

              Es positiva, palpable y ética: servir de información y testimonio de prueba a las instituciones, la sociedad o las personas que lo soliciten.  Es servir con el instrumento documental de memoria de derechos y obligaciones colectivas y personales.  Es servir también a la Historia: el archivo es un espejo de la vida de los hombres, uno de sus registros de memoria permanente y colectiva más completos para sostener con eficacia la trama jurídica (derechos y obligaciones)   del tejido social por un lado, y para guardar la   memoria histórica por otro.  Sin estas finalidades sociales no tendrá sentido la acumulación y conservación de documentos en   forma archivística.
Leer más

¿Qué es la Grafocrítica?

Hablando sobre Pericia Caligráfica: ¿Qué es la Grafocrítica? 23 octubre, 2012 María del Carmen Calderón Berrocal Segundo artículo de la serie Hablando sobre Pericia Caligráfica de María del Carmen Calderón Berrocal, Perito Judicial Calígrafo en los tribunales de Sevilla y Huelva. La grafocrítica es la crítica del grafismo desde el punto de vista de su autenticidad, se trata de determinar la veracidad o dolo que hay en un determinado escrito Hay que tener presente conceptos como Paleografía y Neografía. Mientras que la Paleografía es la ciencia que estudia la grafía hasta el siglo XVI, la Neografía vendría a encargarse de lo propio a partir de esta fecha. Es por esto que la Grafocrítica, Grafística, pericia caligráfica, está vinculada inherentemente a las humanidades y a las Ciencias y Técnicas Historiográficas. El concepto Grafocrítica viene a emplearse cuando se estudian documentos posteriores al siglo XVI y cuando estos estu
Leer más

Objeto,finalidad y método archivísticos

  Objeto.- Son los archivos entendidos como conjunto de documentos -contenido- los que centran la atención de esta disciplina, convirtiéndolos en su objeto, aunque no olvida la materialidad del continente, los edificios, las instalaciones por cuanto tienen que ver con la conservación de aquellos. Finalidad.- El servicio de los archivos a la sociedad, ofrecimiento de la información ya sea a las instituciones productoras o a los ciudadanos, sean o no estudiosos. Método Archivístico.- La Archivística ha establecido una metodología propia de acuerdo a la formulación de unos principios aceptados con generalidad y comunicados a través de un lenguaje propio basado en una terminología propia específica. Esta metodología y este lenguaje propio la identifican y la distinguen de otras ciencias o disciplinas afines. La metodología o el método de la Archivística lo constituyen todos los procesos y tareas llevadas a cabo por el archivero para conseguir el fin que
Leer más