Orden INT/2213/2013, de 19 de noviembre, por la que se aprueba la política de seguridad de la información en el ámbito de la administración electrónica del Ministerio del Interior.

• Fecha de Entrada en Vigor: 29 de Noviembre de 2013
• Marginal: BOE-A-2013-12468
• Sección: III - Otras Disposiciones
• Emisor: Ministerio del Interior
• Rango de Ley: Orden

Norma citada en: una disposición normativa

La Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos, señala entre sus fines el crear las condiciones de confianza en el uso de los medios electrónicos estableciendo las medidas necesarias para la preservación de la integridad de los derechos fundamentales, y en especial, los relacionados con la intimidad y la protección de datos de carácter personal por medio de la garantía de la seguridad de los sistemas, los datos, las comunicaciones y los servicios electrónicos.

El artículo 42 de la citada Ley 11/2007, de 22 de junio, vino a contemplar el Esquema Nacional de Seguridad (ENS), cuyo objeto es el establecimiento de los principios y requisitos de una política de seguridad en la utilización de medios electrónicos que permita la adecuada protección de la información.

En cumplimiento de dicha Ley, el Real Decreto 3/2010, de 8 de enero, reguló el ENS en el ámbito de la administración electrónica, con el fin de fundamentar la confianza en que los sistemas de información prestarán sus servicios y custodiarán la información de acuerdo con sus especificaciones funcionales, sin interrupciones o modificaciones fuera de control, y sin que la información pueda llegar a conocimiento de personas no autorizadas.

El Real Decreto 3/2010, de 8 de enero, enuncia los principios básicos en materia de seguridad de la información (seguridad integral, gestión de riesgos, prevención, reacción y recuperación, líneas de defensa, reevaluación periódica y función diferenciada) y establece el marco regulatorio de la Política de Seguridad de la Información (PSI), que se plasma en un documento, accesible y comprensible para todos los miembros de la organización, que define lo que significa seguridad de la información en una organización determinada y que rige la forma en que una organización gestiona y protege la información y los servicios que considera críticos, disponiendo que:

1. Todos los órganos superiores de las administraciones públicas deberán disponer formalmente de su política de seguridad, que será aprobada por el titular del órgano superior correspondiente.

2. La seguridad deberá comprometer a todos los miembros de la organización. La política de seguridad deberá identificar unos claros responsables de velar por su cumplimiento y ser conocida por todos los miembros de la organización administrativa.

3. El contenido mínimo de la PSI debe precisar de forma clara los objetivos o misión de la organización, el marco legal y regulatorio en que desarrolla sus actividades, los roles o funciones de seguridad, definiendo para cada uno sus deberes y responsabilidades, así como el procedimiento para su designación y renovación, la estructura del comité para la gestión y coordinación de la seguridad, detallando su ámbito de responsabilidad, sus miembros y su relación con otros elementos de la organización, y las directrices para la estructuración de la documentación de seguridad del sistema, su gestión y acceso.

4. Además, la PSI debe ser coherente con lo establecido en el Documento de Seguridad que exige el artículo 88 del Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, aprobado por el Real Decreto 1720/2007, de 21 de diciembre, en lo que corresponda, prevaleciendo lo relativo a la protección de datos de carácter personal en caso de discrepancias.

5. Para la elaboración de la PSI son una referencia las guías CCN-STIC, principalmente CCN-STIC 001, 201, 402, 801 y 805 elaboradas por el Centro Criptológico Nacional (CCN) del Centro Nacional de Inteligencia (CNI), que establecen las pautas de carácter general relativas a la organización de seguridad y sus responsables, así como sobre la estructura y contenido mínimo de la PSI.

Esta orden ministerial ha sido informada por la Comisión Ministerial de Administración Electrónica y por el Consejo Superior de Administración Electrónica.

En su virtud, con la aprobación previa del Ministro de Hacienda y Administraciones Públicas, dispongo:

Artículo 1 Objeto y ámbito de aplicación.

1. El objeto de la presente orden es la aprobación de la Política de Seguridad de la Información (en adelante, PSI) en el ámbito de la administración electrónica del Ministerio del Interior, así como el establecimiento del marco organizativo y tecnológico de la misma.

   La PSI se desarrollará posteriormente en otros niveles normativos, en los que se detallarán los aspectos particulares involucrados en la gestión de la seguridad de los sistemas de información que soportan los servicios electrónicos prestados por el Ministerio del Interior a los ciudadanos con los que se relaciona.

2. Se aplicarán los principios básicos y los requisitos mínimos que se establecen en el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad (en adelante, ENS) en el ámbito de la administración electrónica, de acuerdo con el interés general, naturaleza y complejidad de la materia regulada, que permita una protección adecuada de la información y los servicios.

3. La PSI será de aplicación a los sistemas de información y activos utilizados por el Ministerio del Interior en la prestación de los servicios de administración electrónica, en el marco de sus competencias. Asimismo, la PSI deberá ser de obligado cumplimiento por todo el personal con acceso a los sistemas de información del citado Departamento, con independencia de cuál sea su destino, adscripción o relación con el mismo.

4. Por otra parte, será de obligado cumplimiento para todos los órganos y unidades del Ministerio del Interior, así como para los organismos públicos dependientes del mismo.

5. Se faculta a los Centros Directivos para que, en el ámbito de sus competencias, amplíen de manera progresiva el ámbito de aplicación de la PSI a los sistemas de información no relacionados con la administración electrónica.

Artículo 2 Misión del Departamento.

Corresponde al Ministerio del Interior lo previsto en el Real Decreto 400/2012, de 17 de febrero, por el que se desarrolla la estructura orgánica básica del mismo.

Artículo 3 Marco normativo.

1. El marco normativo en que se desarrollan las actividades del Ministerio del Interior comprende la legislación sectorial reguladora de la actuación de los órganos superiores y directivos del mismo y de sus organismos públicos adscritos, así como la normativa en vigor correspondiente a la administración electrónica.

2. También forman parte del marco normativo las restantes normas aplicables a la administración electrónica del Departamento, derivadas de las anteriores...