Orden AAA/991/2015, de 21 de mayo, por la que se aprueba la política de seguridad de la información en el ámbito de la Administración Electrónica del Ministerio de Agricultura, Alimentación y Medio Ambiente.

• Fecha de Entrada en Vigor: 30 de Mayo de 2015
• Marginal: BOE-A-2015-5937
• Sección: III - Otras Disposiciones
• Emisor: Ministerio de Agricultura, Alimentación y Medio Ambiente
• Rango de Ley: Orden

Norma citada en: una disposición normativa

La Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos, establece la relación entre la Administración Pública y los ciudadanos a través de la Administración Electrónica, compuesta principalmente tanto por los sistemas de tecnologías de la información y comunicaciones como por el tratamiento y almacenamiento automatizado de la información que reside en los mismos, y determina, de acuerdo con su artículo 42, la aprobación del Esquema Nacional de Seguridad (ENS).

En efecto, esta consagración del derecho a comunicarse a través de medios electrónicos comporta la correlativa obligación de las Administraciones de atender a cuantas necesidades se adviertan para garantizar una aplicación segura de estas tecnologías sobre la base de los mandatos constitucionales de promoción de las condiciones para que la libertad y la igualdad sean reales y efectivas y de remoción de los obstáculos que impidan o dificulten su plenitud.

En su desarrollo, se aprobaría el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, que tiene por objeto el establecimiento de los principios y requisitos de una política de seguridad en la utilización de medios electrónicos que permita la adecuada protección de la información.

El artículo 11 del citado real decreto exige que todos los órganos superiores de las Administraciones públicas deberán disponer formalmente de su política de seguridad, que se aprobará por el titular del órgano superior correspondiente. Esta política de seguridad se establecerá con base en los principios básicos recogidos en el capítulo II de la propia norma (seguridad integral, gestión de riesgos, prevención, reacción y recuperación, líneas de defensa, reevaluación periódica, y función diferenciada) y desarrollará una serie de requisitos mínimos consignados en el artículo 11.1.

En su virtud, con la aprobación previa del Ministro de Hacienda y Administraciones Públicas, dispongo.

Artículo 1 Objeto y ámbito de aplicación.

1. Constituye el objeto de la presente orden la aprobación de la Política de Seguridad de la Información (PSI) en el ámbito de la Administración Electrónica del Ministerio de Agricultura, Alimentación y Medio Ambiente.

2. La PSI será de obligado cumplimiento para todos los órganos superiores y directivos del Ministerio de Agricultura, Alimentación y Medio Ambiente, incluidos los organismos públicos vinculados o dependientes del Departamento, que no tengan establecida su propia política de seguridad. En aquellos organismos que tengan su propia política de seguridad, prevalecerá en caso de discrepancia la definida en esta orden ministerial.

3. La PSI será de obligado cumplimiento para todo el personal que acceda tanto a los sistemas de información como a la propia información que sea gestionada por el Departamento, con independencia de cuál sea su destino, adscripción o relación con el mismo.

Artículo 2 Principios de la seguridad de la información.

1. Principios básicos.

   Los principios básicos son directrices fundamentales de seguridad que han de tenerse siempre presentes en cualquier actividad relacionada con el uso de los activos de información. Además de los previstos en el artículo 4 Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, se establecen los siguientes:

   1. Alcance estratégico: la seguridad de la información cuenta con el compromiso y apoyo de todos los niveles directivos de forma que está coordinada e integrada con el resto de iniciativas estratégicas del Departamento para conformar un todo coherente y eficaz.

   2. Proporcionalidad: el establecimiento de medidas de protección, detección y recuperación deberá ser proporcional a los potenciales riesgos y a la criticidad y valor de la información y de los servicios afectados.

   3. Mejora continua: las medidas de seguridad se reevaluarán y actualizarán periódicamente para adecuar su eficacia a la constante evolución de los riesgos y sistemas de protección. La seguridad de la información será atendida, revisada y auditada por personal cualificado, instruido y dedicado.

   4. Seguridad por defecto: los sistemas deben diseñarse y configurarse de forma que garanticen un grado suficiente de seguridad por defecto.

2. Principios particulares y responsabilidades específicas.

   Las directrices fundamentales de seguridad se concretan en un conjunto de principios particulares y responsabilidades específicas, que se configuran como objetivos instrumentales que garantizan el cumplimiento de los principios básicos de la PSI y que inspiran las actuaciones del Departamento en dicha materia. Se establecen los siguientes:

   1. Gestión de activos de información: los activos de información del Departamento se encontrarán inventariados y categorizados y estarán asociados a un responsable.

   2. Seguridad ligada a las personas: se implantarán los mecanismos necesarios para que cualquier persona que acceda o pueda acceder a los activos de información conozca sus responsabilidades y de este modo se reduzca el riesgo derivado de un uso indebido de dichos activos.

   3. Seguridad física: los activos de información serán emplazados en áreas seguras, protegidas por controles de acceso físicos adecuados a su nivel de criticidad. Los sistemas y los activos de...