LegalizeOrden AUC/1147/2021, de 15 de octubre, por la que se aprueba la Política de Seguridad de la Información en el ámbito de la administración digital del Ministerio de Asuntos Exteriores, Unión Europea y Cooperación, y se modifica la Orden AEC/1372/2016, de 19 de julio, por la que se crea y regula la Comisión Ministerial para la Administración Digital del Ministerio de Asuntos Exteriores y de Cooperación
La Orden AEC/1647/2013, de 5 de septiembre, por la que se aprobó la política de seguridad de la información en el ámbito de la administración electrónica del Ministerio de Asuntos Exteriores y de Cooperación (en adelante, PSI), identifica responsabilidades y establece el conjunto de principios y directrices básicos para una protección apropiada y consistente de los servicios y activos de información gestionados en el marco de competencias del Ministerio, generando así, de acuerdo con lo establecido en el Real Decreto 951/2015, de 23 de octubre, de modificación del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad (en adelante, ENS) en el ámbito de la Administración Electrónica, las condiciones necesarias de confianza en el uso de medios electrónicos.
Desde la aprobación de la citada PSI, se ha asistido a la modificación del marco normativo básico de aplicación en el ámbito de la administración electrónica. Se ha aprobado la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas y la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
De igual forma, el Real Decreto-ley 14/2019, de 31 de octubre, por el que se adoptan medidas urgentes por razones de seguridad pública en materia de administración digital, contratación del sector público y telecomunicaciones, incorpora medidas para la seguridad pública, asegurando aspectos relacionados con la mayor exposición a ciberamenazas que exigen una mejor protección de redes y sistemas, así como de la privacidad y los derechos digitales del ciudadano.
Asimismo, han entrado en vigor el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos); y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
Más recientemente, la transposición de la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes (Directiva NIS) al ordenamiento jurídico español, se llevó a cabo mediante el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información y desarrollado a su vez por el Real Decreto 43/2021 de 26 de enero por el que se desarrolla el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información. Esta norma legal regula la seguridad de las redes y sistemas de información utilizados para la provisión de los servicios esenciales y los servicios digitales, estableciendo mecanismos que, con una perspectiva integral, permiten mejorar la protección frente a las amenazas que afectan a las redes y sistemas de información, y fijando un marco institucional de cooperación que facilita la coordinación de las actuaciones realizadas en esta materia tanto a nivel nacional como con los países de nuestro entorno, en particular, dentro de la Unión Europea.
Por último, la reciente entrada en vigor del Reglamento de actuación y funcionamiento del sector público por medios electrónicos, aprobado por el Real Decreto 203/2021 de 30 de marzo, por el que se aprueba el Reglamento de actuación y funcionamiento del sector público por medios electrónicos, que entre otros, persigue el principio de proporcionalidad, para que las medidas de seguridad y garantías que se exijan sean adecuadas a la naturaleza y circunstancias de los distintos trámites y actuaciones electrónicos.
Además, este Ministerio ha elaborado el Plan de Acción Departamental para la Transformación Digital del Ministerio de Asuntos Exteriores y Cooperación, en cumplimiento de lo previsto en el Capítulo IV del Real Decreto 806/2014 de 19 de septiembre, sobre organización e instrumentos operativos de las tecnologías de la información y las comunicaciones en la Administración General del Estado y sus Organismos Públicos. Adicionalmente, se han establecido nuevos procedimientos para reforzar la ciberseguridad en todo el Departamento.
Con el fin de adoptar la regulación existente a los cambios anteriormente descritos, se motiva la necesidad de establecer una PSI acorde a la situación actual.
En la elaboración de la orden se han cumplido los principios de buena regulación recogidos en el artículo 129 de la Ley 39/2015, de 1 de octubre, y, en particular, los principios de necesidad y eficacia, pues se trata del instrumento óptimo para garantizar una política de seguridad en la utilización de medios electrónicos que permita una adecuada protección de la información dentro del Ministerio de Asuntos Exteriores, Unión Europea y Cooperación. También se adecúa al principio de proporcionalidad, pues no existe otra alternativa menos restrictiva de derechos o de obligaciones y, en cuanto a los principios de seguridad jurídica, transparencia y eficiencia, la norma es coherente con el resto del ordenamiento jurídico, y se ha debatido en el seno de la Comisión Permanente de la Comisión Ministerial para la Administración Digital, permitiendo una gestión más eficiente de los recursos públicos y no contempla cargas.
Esta orden ha sido informada por la Agencia Española de Protección de Datos, y por la Comisión Ministerial de Administración Digital del Departamento.
En virtud de lo anterior y con la aprobación previa de la Ministra de Hacienda y Función Pública, dispongo:
Artículo 1. Objeto y ámbito de aplicación.
Constituye el objeto de esta orden el establecer la Política de Seguridad de la Información (en lo sucesivo, PSI) en el ámbito de la administración digital del Ministerio de Asuntos Exteriores, Unión Europea y Cooperación, así como del marco normativo y organizativo de la misma.
La PSI será de obligado cumplimiento para todos los órganos superiores y directivos del Ministerio de Asuntos Exteriores, Unión Europea y Cooperación, incluidos los organismos adscritos al mismo que no tengan establecida su propia política de seguridad.
La PSI será aplicable a todos los activos empleados por el Departamento.
Se excluye del ámbito de esta orden las materias clasificadas, que se regirán por su propia política del manejo de la Información Clasificada.
Artículo 2. Misión del departamento.
Corresponde al Ministerio de Asuntos Exteriores, Unión Europea y Cooperación, de conformidad con las directrices del Gobierno y en aplicación del principio de unidad de acción en el exterior, planificar, dirigir, ejecutar y evaluar la política exterior del Estado y la política de cooperación internacional para el desarrollo sostenible, con singular atención a las relacionadas con la Unión Europea y con Iberoamérica, y coordinar y supervisar todas las actuaciones que en dichos ámbitos realicen, en ejecución de sus respectivas competencias, los restantes Departamentos y Administraciones Públicas.
Asimismo, le corresponde fomentar las relaciones económicas, culturales y científicas internacionales; participar, en la esfera de actuación que le es propia, en la propuesta y aplicación de las políticas migratorias y de extranjería; fomentar la cooperación transfronteriza e interterritorial; proteger a los españoles en el exterior; y preparar, negociar y tramitar los Tratados Internacionales de los que España sea parte.
Artículo 3. Marco legal y regulatorio de la seguridad de la información. .
El marco normativo en que se desarrollan las actividades del Ministerio de Asuntos Exteriores, Unión Europea y Cooperación en el ámbito de la prestación de los servicios electrónicos a los ciudadanos, sin perjuicio de la legislación específica, se compone de los siguientes textos normativos:
Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.
Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información.
Real Decreto-ley 14/2019, de 31 de octubre, por el que se adoptan medidas urgentes por razones de seguridad pública en materia de administración digital, contratación del sector público y telecomunicaciones.
Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.
Real Decreto 951/2015, de 23 de octubre, de modificación del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.
Real Decreto 43/2021, de 26 de enero, por el que se desarrolla el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información.
Reglamento de actuación y funcionamiento del sector público por medios electrónicos, aprobado por el Real Decreto 203/2021 de 30 de marzo.
Orden PCI/487/2019, de 26 de abril, por la que se publica la Estrategia Nacional de Ciberseguridad 2019, aprobada por el Consejo de Seguridad Nacional.
Del mismo modo, forman parte del marco regulatorio la norma por la que se desarrolle la estructura orgánica básica del Departamento, las normas aplicables a la Administración Digital del Departamento, las normas aplicables en materia de protección de datos y cualquier norma de ciberseguridad que resulte de aplicación.
Artículo 4. Principios de la seguridad de la información.
Principios básicos.
Los principios básicos son directrices fundamentales de seguridad que han de tenerse siempre presentes en cualquier actividad relacionada con el uso de los activos de información. Se establecen los siguientes:
Alcance estratégico: La seguridad de la información debe contar con el compromiso y apoyo de todos los niveles directivos de forma que pueda estar coordinada e integrada con el resto de iniciativas estratégicas del Departamento para conformar un todo coherente y eficaz.
Responsabilidad diferenciada: En los sistemas de información se diferenciará persona o unidad ministerial responsable de la información, que determina los requisitos de seguridad de la información tratada; responsable del servicio, que determina los requisitos de seguridad de los servicios prestados; responsable del sistema, que tiene la responsabilidad técnica sobre la prestación de los servicios; y responsable de seguridad, que propone a la persona o unidad responsable de la información las decisiones para satisfacer los requisitos de seguridad. Las figuras de responsable de la información y responsable de servicio pueden recaer en la misma persona o unidad, en función de la estructura organizativa del servicio que se preste. En los supuestos de tratamientos de datos personales se identificará además a la persona o unidad responsable de tratamiento y, en su caso, al encargado de tratamiento, de acuerdo con el artículo 12 de esta orden.
Seguridad integral: La seguridad se entenderá como un proceso integral constituido por todos los elementos técnicos, humanos, materiales y organizativos relacionados con el sistema, evitando, salvo casos de urgencia o necesidad, cualquier actuación puntual o tratamiento coyuntural. La seguridad de la información debe considerarse como parte de la operativa habitual, estando presente y aplicándose desde el diseño inicial de los sistemas de información.
Gestión de riesgos: de acuerdo con lo establecido en los artículos 24, 25 y 32 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, en el artículo 28 de la Ley Orgánica 3/2018, de 5 de diciembre, así como en el artículo 6 del Real Decreto 3/2010, de 8 de enero, el análisis y gestión de riesgos será parte esencial del proceso de seguridad. La gestión de riesgos permitirá el mantenimiento de un entorno controlado, minimizando los riesgos hasta niveles aceptables. La reducción de estos niveles se realizará mediante el despliegue de medidas de seguridad, que establecerán un equilibrio entre la naturaleza de los datos y los tratamientos, el impacto y la probabilidad de los riesgos a los que estén expuestos y la eficacia y el coste de las medidas de seguridad.
Proporcionalidad: El establecimiento de medidas de protección, detección y recuperación deberá ser proporcional a los potenciales riesgos y a la criticidad y valor de la información y de los servicios afectados.
Mejora continua: Las medidas de seguridad se reevaluarán y actualizarán periódicamente para adecuar su eficacia a la constante evolución de los riesgos y sistemas de protección. La seguridad de la información será atendida, revisada y auditada por personal cualificado, instruido, dedicado y diferenciado.
Seguridad por defecto: Los sistemas deben diseñarse y configurarse de forma que garanticen un grado suficiente de seguridad por defecto. En el ámbito del tratamiento de datos personales, deben cumplir con los principios de privacidad por defecto y desde el diseño.
Principios particulares y responsabilidades específicas.
Las directrices fundamentales de seguridad se concretan en un conjunto de principios particulares y responsabilidades específicas, que se configuran como objetivos instrumentales que garantizan el cumplimiento de los principios básicos de la PSI y que inspiran las actuaciones del Departamento en dicha materia. Se establecen los siguientes objetivos instrumentales:
Protección de datos de carácter personal: se adoptarán las medidas técnicas y organizativas necesarias para garantizar una adecuada protección de los datos. Tal y como establece en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, dichas medidas deberán ser apropiadas en función del análisis de riesgos mencionado en el artículo 4.1.d), así como de una evaluación de impacto en la protección de datos cuando sea probable que un tratamiento, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas.
Gestión de activos de información: Los activos de información del Departamento se encontrarán inventariados y categorizados y estarán asociados a un responsable.
Seguridad ligada a las personas: se implantarán los mecanismos necesarios para que cualquier persona que acceda o pueda acceder a los activos de información conozca sus responsabilidades y, de este modo, se reduzca el riesgo derivado de un uso indebido de aquellos.
Seguridad física: Los activos de información serán emplazados en áreas seguras, protegidas por controles de acceso físicos adecuados a su nivel de criticidad. Los sistemas y los activos de información que contienen dichas áreas estarán suficientemente protegidos frente a amenazas físicas o ambientales.
Seguridad en la gestión de comunicaciones y operaciones: se establecerán los procedimientos necesarios para lograr una adecuada gestión de la seguridad, operación y actualización de las Tecnologías de la Información y Comunicaciones. La información que se transmita a través de redes de comunicaciones deberá ser adecuadamente protegida, teniendo en cuenta su nivel de sensibilidad y de criticidad, mediante mecanismos que garanticen su seguridad.
Control de acceso: se limitará el acceso a los activos de información por parte de usuarios, procesos y otros sistemas de información mediante la implantación de los mecanismos de identificación, autenticación y autorización acordes a la criticidad de cada activo. Además, quedará registrada la utilización del sistema con objeto de asegurar la trazabilidad del acceso y auditar su uso adecuado, conforme a la actividad de la organización.
Adquisición, desarrollo y mantenimiento de los sistemas de información: se contemplarán los aspectos de seguridad de la información en todas las fases del ciclo de vida de los sistemas de información, garantizando su seguridad por defecto.
Gestión de los incidentes de seguridad: se implantarán los mecanismos apropiados para la correcta identificación, registro y resolución de los incidentes de seguridad.
La consulta de este documento no sustituye la lectura del Boletín Oficial del Estado correspondiente. No nos responsabilizamos de posibles incorrecciones producidas en la transcripción del original a este formato.