El desarrollo de la Administración Electrónica implica el tratamiento automatizado de gran cantidad de información, así como su almacenamiento por sistemas basados en tecnologías de la información y de las comunicaciones. Estos sistemas están expuestos a amenazas que aprovechándose de sus posibles vulnerabilidades pueden poner en peligro la información que manejan.

En el contexto de la Administración Electrónica, se entiende por seguridad de la información la capacidad de las redes o de los sistemas de información para resistir, con un determinado nivel de confianza, los accidentes y acciones ilícitas o malintencionadas que comprometan la autenticidad, confidencialidad, integridad y disponibilidad de los datos almacenados o transmitidos y la de los servicios que dichas redes y sistemas ofrecen o hacen accesibles.

El Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad (en adelante, ENS) en el ámbito de la Administración Electrónica, persigue fundamentar la confianza en que los sistemas de información prestarán sus servicios y custodiaran la información de acuerdo con sus respectivas especificaciones funcionales, sin interrupciones o modificaciones fuera de control, y sin que la información pueda llegar a conocimiento de personas no autorizadas.

Para ello, ENS enuncia en sus artículos del 5 al 10, los principios básicos en materia de seguridad de la información (seguridad integral, gestión de riesgos, prevención, reacción y recuperación, líneas de defensa, reevaluación periódica y función diferenciada) y establece el marco regulatorio de la Política de Seguridad de la Información (en adelante, PSI).

La PSI es, según ENS, el documento que define lo que significa seguridad de la información en una organización determinada, rige la forma en que dicha organización gestiona y protege la información y los servicios que considera críticos y debe plasmarse en un documento, accesible y comprensible para todos los miembros de la organización.

En concreto ENS dispone que:

1. Todos los órganos superiores de las Administraciones públicas deberán disponer formalmente de su política de seguridad, que será aprobada por el titular del órgano superior correspondiente (artículo 11).

2. La PSI debe comprometer a todos los miembros de la organización, por los que debe ser conocida, e identificar unos claros responsables de velar por su cumplimiento (artículo 12).

3. La PSI deberá plasmarse en un documento escrito, en el que, de forma clara, se precise, al menos, lo siguiente:

a) Los objetivos o misión de la organización.

b) El marco legal y regulatorio en el que se desarrollan sus actividades.

c) Los roles o funciones de seguridad, definiendo para cada uno, los deberes y responsabilidades del cargo, así como el procedimiento para su designación y renovación.

d) La estructura del comité o los comités para la gestión y coordinación de la seguridad, detallando su ámbito de responsabilidad, los miembros y la relación con otros elementos de la organización.

e) Las directrices para la estructuración de la documentación de seguridad del sistema, su gestión y acceso.

4. La PSI debe ser coherente, en lo que proceda, con el correspondiente Documento de Seguridad, previsto en el artículo 88 del Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, aprobado por Real Decreto 1720/2007, de 21 de diciembre, prevaleciendo la protección de datos de carácter personal en caso de discrepancias.

Para la elaboración de la PSI se han tenido en cuenta las guías CCN-STIC elaboradas por el Centro Criptológico Nacional (en adelante, CCN), en ejercicio de la función señalada en el artículo 2.2.a) del Real Decreto 421/2004, de 12 de marzo, que establecen las pautas de carácter general relativas a la organización de la seguridad y sus responsables, así como sobre la estructura y contenido mínimo de la PSI.

En virtud de lo anterior y en cumplimiento del artículo 11 del Real Decreto 3/2010, de 8 de enero, con la aprobación previa del Ministro de Hacienda y Administraciones Públicas, dispongo:

Artículo 1. Objeto y ámbito de aplicación.

1. Esta orden tiene por objeto aprobar la política de seguridad de la información (en adelante, PSI) en el ámbito de la Administración Electrónica del Ministerio de Asuntos Exteriores y de Cooperación (en adelante, MAEC) y establecer el marco organizativo y tecnológico de la misma.

2. La PSI se aplicará por todos los órganos y unidades del Departamento y sus organismos adscritos, a todos los datos, informaciones y servicios utilizados en medios electrónicos que gestionen en el ejercicio de sus competencias, debiendo ser cumplida por su personal y por cualquiera que tenga acceso a dichos datos, informaciones o servicios.

3. Las competencias asignadas por esta orden se ejercerán sin perjuicio de la competencia sobre seguridad de la información que atribuye a la Dirección General del Servicio Exterior el artículo 14.1.f) del Real Decreto 342/2012, de 10 de febrero, por el que se desarrolla la estructura orgánica básica del Ministerio de Asuntos Exteriores y de Cooperación.

…

Leer la Orden completa o descarga PDF

Fuente: Madrid, 5 de septiembre de 2013.–El Ministro de Asuntos Exteriores y de Cooperación, José Manuel García-Margallo y Marfil.