Decreto 31/2015, de 14 de mayo, por el que se aprueba la Política de Seguridad de la Información de la Administración de la Comunidad Autónoma de Cantabria.

Sección1 - Disposiciones Generales
EmisorConsejo de Gobierno
Rango de LeyDecreto

En las sociedades de los países desarrollados, el uso de las nuevas tecnologías se ha hechocotidiano, transformando la vida diaria de los ciudadanos y suponiendo una revolución parael funcionamiento interno de las organizaciones públicas y privadas. También ha introducidocambios profundos en la relación entre estas organizaciones y su entorno: agilizando los intercambios de información entre entidades y permitiendo ofrecer servicios accesibles a laspersonas en cualquier momento y lugar.

La indudables ventajas que conlleva esta masiva presencia de las nuevas tecnologías, también ha supuesto afrontar importantes desafíos para que su utilización sea compatible con losderechos y deberes de la ciudadanía en los países democráticos.

Entre estos desafíos ha cobrado en los últimos años una excepcional importancia la seguridad de las infraestructuras tecnológicas y de la información que se almacena o se trata conellas. Existen bandas mafiosas, grupos terroristas y otras organizaciones criminales que practican el tráfico de información privada, el espionaje masivo o dirigido y que en ocasiones realizan sabotajes que afectan a los sistemas de información de organizaciones públicas o privadas.

En el ámbito de las Administraciones Públicas de nuestro país, el Gobierno de España hasido consciente de la importancia de las nuevas tecnologías y de su utilidad para mejorar losservicios que éstas prestan a los ciudadanos. También de la importancia de la seguridad de lainformación y de la necesidad de establecer un marco legal para regularla y garantizarla.

La Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los ServiciosPúblicos, reconoce el derecho de los ciudadanos a relacionarse con las Administraciones Públicas por medios electrónicos, regulando los aspectos básicos de la utilización de las tecnologíasde la información en la actividad administrativa, en las relaciones entre las AdministracionesPúblicas, así como en las relaciones de los ciudadanos con las mismas con la finalidad de garantizar sus derechos, un tratamiento común ante ellas y la validez y eficacia de la actividadadministrativa en condiciones de seguridad jurídica.

Entre los fines de esa ley, se señala la necesidad de crear unas condiciones de confianza enel uso de los medios electrónicos, estableciendo las medidas necesarias para la preservaciónde la integridad y los derechos fundamentales, y en especial, los relacionados con la intimidady la protección de datos de carácter personal.

El Esquema Nacional de Seguridad aprobado por el Real Decreto 3/2010, de 8 de enero,tiene como meta precisamente atender a esa necesidad, para permitir a los ciudadanos y alas Administraciones Públicas el ejercicio de derechos y el cumplimiento de deberes a travésde estos medios. Así, se busca garantizar la calidad de la información y la adecuada prestación de los servicios sin interrupciones, mediante una estrategia de gestión de la seguridad dela información que combine medidas preventivas y de supervisión de la actividad diaria, conprocedimientos específicos de respuesta ante los incidentes que pudieran presentarse y con lacapacidad de adaptación a los cambios en las condiciones del entorno.

Esta gestión de la seguridad de la información debe entenderse como un proceso integral,constituido por todos los elementos técnicos, humanos, materiales y organizativos, relacionados con los sistemas de información, descartándose cualquier actuación puntual o tratamientocoyuntural. Esta gestión implica directamente tanto al personal especialista en tecnología,como a los gestores con capacidad de decisión sobre la información o los servicios prestados,así como al resto de personas que usan o acceden de algún modo a los sistemas de informa-

CVE-2015-6977

ción. Por ello se debe prestar la máxima atención a la concienciación de las personas que intervienen en el proceso y a sus responsables jerárquicos, para que, ni la ignorancia, ni la faltade organización y coordinación, ni instrucciones inadecuadas, sean fuentes de riesgo para laseguridad.

El Esquema Nacional de Seguridad establece la obligación para las administraciones públicas de poner en marcha un conjunto de medidas de seguridad concretas, de tipo organizativo,operacional y de protección.

Entre las medidas de tipo organizativo incluye la obligación de formalizar una Política de Seguridad de la Información para la organización, en la que se definen, entre otros aspectos, laestructura para la gestión de la seguridad de la información y la asignación de funciones y roles.

Así, el presente decreto, fija esa Política de Seguridad de la Información, estableciendo losobjetivos, principios básicos y la estructura organizativa para la gestión de la seguridad de lainformación en nuestra Administración.

Este decreto es una muestra del firme compromiso de la Administración de la ComunidadAutónoma de Cantabria con la necesidad de realizar una adecuada gestión de la seguridad dela información y con el cumplimiento del Real Decreto 3/2010 por el que se regula el EsquemaNacional de Seguridad en el ámbito de la Administración Electrónica.

En su virtud, a propuesta de la Consejera de Presidencia y Justicia y previa deliberación delConsejo de Gobierno, en su reunión del día 14 de mayo de 2015.

DISPONGO CAPÍTULO I

Disposiciones generales Artículos 1 a 29
Artículo 1 Objeto y ámbito de aplicación 1

El presente decreto tiene por objeto establecer el marco común, las directrices básicasy el régimen organizativo para la gestión de la Seguridad de la Información. Tal y como defineel anexo IV del Real Decreto 3/2010, "Seguridad de las redes y de la información, es la capacidad de las redes o de los sistemas de información de resistir, con un determinado nivel deconfianza, los accidentes o acciones ilícitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos yde los servicios que dichas redes y sistemas ofrecen o hacen accesibles". 2. Sus previsiones serán de aplicación: a) A la Administración de la Comunidad Autónoma de Cantabria, comprendiendo ésta, aestos efectos, a la Administración General y los organismos públicos y entidades de derechopúblico vinculadas o dependientes de la misma, cuando ejerzan funciones administrativas yutilicen sistemas de información gestionados por el órgano directivo con competencias en materia informática. Quedan excluidos del ámbito de aplicación del presente decreto el ServicioCántabro de Salud y el sector público empresarial y fundacional. b) A las personas físicas, jurídicas y entes sin personalidad en sus relaciones con las entidades anteriores cuándo procedan al uso de sistemas de información gestionados por el órganodirectivo con competencias en materia informática.

Artículo 2 Misión de la organización

La Administración de la Comunidad Autónoma desarrolla funciones ejecutivas de carácteradministrativo según lo establecido en el artículo 42 de la Ley de Cantabria 6/2002, de 10 dediciembre, de Régimen Jurídico del Gobierno y de la Administración de la Comunidad Autónoma de Cantabria.

Artículo 3 Objetivos y directrices básicas de la gestión de la seguridad de la información. 1

Los objetivos de la gestión de la seguridad de la información son los siguientes: a) La protección de la información frente a accesos y modificaciones no autorizadas. b) La protección de la información y de los servicios frente a fallos en la disponibilidad, autenticidad, integridad, confidencialidad y trazabilidad. c) El adecuado tratamiento de los incidentes de seguridad. d) El cumplimiento de requisitos legales. 2. Las directrices básicas para la gestión de la seguridad de la información son las siguientes: a) Una gestión formal y racionalizada de la seguridad de la información. b) La determinación de las responsabilidades en materia de seguridad de la información detodos los órganos y personas implicadas. c) La coordinación con otras normas en materia de seguridad, aunque no estén relacionadas directamente con la Seguridad de la Información, que puedan existir en el ámbito de laAdministración de la Comunidad Autónoma de Cantabria.

Artículo 4 Principios de la política de seguridad de la información.

La gestión de la seguridad de la información, y por tanto el funcionamiento del Sistema deGestión de la Seguridad de la Información (SGSI), se regirá por los siguientes principios básicos: a) Seguridad integral. b) Gestión de riesgos. c) Prevención, reacción y recuperación. d) Líneas de defensa. e) Reevaluación periódica. f) Función diferenciada.

CAPÍTULO II Artículos 5 a 21

Organización de la gestión de la seguridad de la información

Artículo 5 Estructura organizativa.

La organización para la gestión de la seguridad de la información en la Administración de laComunidad Autónoma de Cantabria se estructura en: a) Comisión General de Seguridad de la Información. b) Comité Técnico de Ciberseguridad. c) Responsables de la información y responsables del servicio. d) Gestores responsables. e) Responsable de Seguridad de la Información. f) Responsables de los Sistemas. g) Administradores de Ciberseguridad de los Sistemas. h) Responsables de los ficheros que contengan datos de carácter personal. i) Comisiones, comités y responsables sectoriales de Seguridad de la Información.

Artículo 6 Creación, composición y régimen de funcionamiento de la Comisión General deSeguridad de la Información. 1

Se crea la Comisión General de Seguridad de la Información, que estará constituida porlos siguientes...

Para continuar leyendo

Solicita tu prueba

VLEX utiliza cookies de inicio de sesión para aportarte una mejor experiencia de navegación. Si haces click en 'Aceptar' o continúas navegando por esta web consideramos que aceptas nuestra política de cookies. ACEPTAR