LegalizeOrden TES/369/2023, de 10 de abril, por la que se aprueba la Política de Seguridad de la Información y de los Servicios en el ámbito de la administración digital del Ministerio de Trabajo y Economía Social y se crea el Comité de Seguridad de las Tecnologías de la Información y las Comunicaciones del Departamento
El marco de relación entre la Administración Pública y los ciudadanos a través de los medios electrónicos se encuentra establecido en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.
Por su parte, la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público define, en su artículo 156, el objeto del Esquema Nacional de Seguridad (ENS) y lo incorpora como parte esencial en la configuración del archivo electrónico de los documentos regulado en el artículo 46 y en el régimen de relaciones electrónicas y transferencias de tecnología entre las Administraciones Públicas, tal como establece su artículo 158.
Ambas normas han sido objeto de desarrollo mediante el Real Decreto 203/2021, de 30 de marzo, por el que se aprueba el Reglamento de actuación y funcionamiento del sector público por medios electrónicos.
La administración digital debe ser confiable para que los ciudadanos realicen los trámites administrativos correspondientes con total seguridad y fiabilidad. Para ello, el Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad, persigue alcanzar una protección adecuada de la información tratada y de los servicios prestados por las entidades de su ámbito de aplicación, con objeto de asegurar el acceso, la confidencialidad, la integridad, la trazabilidad, la autenticidad, la disponibilidad y la conservación de los datos, la información y los servicios utilizados por medios electrónicos que gestionen en el ejercicio de sus competencias.
En particular, el artículo 12.3 del citado Real Decreto 311/2022, de 3 de mayo, establece que, en la Administración General del Estado, cada ministerio contará con su política de seguridad, que aprobará la persona titular del Departamento.
La política de seguridad de la información constituye el marco de referencia orientado a facilitar la definición, gestión, administración e implementación de los mecanismos y procedimientos de seguridad establecidos en el ENS.
Además, la política de seguridad de la información debe ser coherente con lo establecido en el Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos) y en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
En el ámbito del Ministerio de Trabajo y Economía Social se debe garantizar la seguridad como un proceso integral de cada etapa del ciclo de vida de cada sistema de información, desde su concepción hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisición y las actividades de explotación. Además, el sistema de información debe estar preparado para prevenir, detectar, reaccionar y recuperarse de incidentes, de acuerdo con lo que prevé el Esquema Nacional de Seguridad.
Mediante el Real Decreto 2/2020, de 12 de enero, por el que se reestructuran los departamentos ministeriales, fue creado el Ministerio de Trabajo y Economía Social. Posteriormente, se aprobaron el Real Decreto 139/2020, de 28 de enero, por el que se establece la estructura orgánica básica de los departamentos ministeriales, y el Real Decreto 499/2020, de 28 de abril, por el que se desarrolla la estructura orgánica básica del Ministerio de Trabajo y Economía Social, y se modifica el Real Decreto 1052/2015, de 20 de noviembre, por el que se establece la estructura de las Consejerías de Empleo y Seguridad Social en el exterior y se regula su organización, funciones y provisión de puestos de trabajo.
El marco normativo vigente en el ámbito de la prestación de servicios electrónicos a los ciudadanos, en materia de política de seguridad de la información y de protección de datos personales, así como la actual organización administrativa determinan la necesidad de dictar esta orden por la que se aprueba la política de seguridad de la información y de los servicios en el ámbito de la administración digital del Ministerio de Trabajo y Economía Social y se crea, en este Departamento, el Comité de Seguridad de las Tecnologías de la Información y las Comunicaciones.
Esta orden cumple con los principios de buena regulación, de necesidad, eficacia, proporcionalidad, seguridad jurídica, transparencia y eficiencia recogidos en el artículo 129 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.
En primer lugar, en virtud de los principios de necesidad y eficacia, esta iniciativa normativa está justificada por las razones expuestas y es el instrumento más adecuado para dar cumplimiento al mandato contenido en el artículo 12.3 del citado Real Decreto 311/2022, de 3 de mayo. Además, se ajusta al principio de proporcionalidad, en tanto que la norma contiene la regulación imprescindible para atender sus objetivos. Se garantiza el principio de seguridad jurídica, en tanto que la norma es coherente con el resto del ordenamiento jurídico y, en particular, con el marco regulatorio en el ámbito de la política de seguridad de la información. Cumple con el principio de transparencia, ya que identifica claramente su propósito y, al tratarse de una norma organizativa su tramitación no ha requerido de la consulta pública previa ni de los trámites de audiencia e información pública. Finalmente, es también adecuada al principio de eficiencia, ya que no impone cargas administrativas.
La orden se ha desarrollado también en el marco de lo dispuesto en la disposición adicional primera de la Ley Orgánica de Protección de Datos Personales y Garantía de Derechos Digitales (LOPD) y del artículo 32 del Reglamento UE 2016/679, del Parlamento Europeo y del Consejo (RGPD) en orden a aplicar las medidas de seguridad al tratamiento de datos personales.
En el proceso de su tramitación, ha sido informada por la Agencia Española de Protección de Datos y por la Comisión Ministerial de Administración Digital del Ministerio de Trabajo y Economía Social.
En su virtud, con la aprobación previa de la Ministra de Hacienda y Función Pública, dispongo:
Artículo 1. Objeto y ámbito de aplicación.
El objeto de esta orden ministerial es la aprobación de la Política de Seguridad de la Información y de los Servicios (en adelante Política de Seguridad o PSI), en el ámbito de la Administración Digital del Ministerio de Trabajo y Economía Social, así como la creación del Comité de Seguridad de las Tecnologías de la Información y las Comunicaciones del Ministerio de Trabajo y Economía Social y la regulación de su composición, funcionamiento y funciones.
La Política de Seguridad establece las orientaciones o directrices que rigen la actuación en el Ministerio de Trabajo y Economía Social, de las personas y entidades, en relación con la seguridad de los sistemas de información; entendiendo que un Sistema de Información es un conjunto organizado de recursos (físicos, lógicos, de comunicación, de datos, procedimientos y personas) que permite conseguir las especificaciones funcionales establecidas para el Departamento. La Política de Seguridad aprobada en esta orden ministerial se aplicará a todos los sistemas de información del Ministerio de Trabajo y Economía Social.
La PSI es de obligado cumplimiento para todo el personal que acceda a los sistemas de información y a la información del Departamento y para los órganos superiores y directivos del Ministerio de Trabajo y Economía Social y de sus organismos públicos adscritos, que no tengan establecida su propia política de seguridad.
En caso de discrepancia con las políticas de seguridad que pudieran estar definidas de manera específica para tales órganos y organismos públicos, prevalecerá la definida en esta orden ministerial.
Artículo 2. Misión del Departamento.
Corresponde al Ministerio de Trabajo y Economía Social la propuesta y ejecución de la política del Gobierno en materia de empleo, de relaciones laborales, de economía social y de responsabilidad social de las empresas, de acuerdo con lo establecido en el Real Decreto 499/2020, de 28 de abril, por el que se desarrolla la estructura orgánica básica del Ministerio de Trabajo y Economía Social, y se modifica el Real Decreto 1052/2015, de 20 de noviembre, por el que se establece la estructura de las Consejerías de Empleo y Seguridad Social en el exterior y se regula su organización, funciones y provisión de puestos de trabajo.
Artículo 3. Marco normativo.
El marco normativo en que se desarrollan las actividades del Ministerio de Trabajo y Economía Social en el ámbito de la prestación de los servicios electrónicos a la ciudadanía, sin perjuicio de la legislación específica, está integrado fundamentalmente por las siguientes disposiciones:
Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.
Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información.
Real Decreto-ley 14/2019, de 31 de octubre, por el que se adoptan medidas urgentes por razones de seguridad pública en materia de administración digital, contratación del sector público y telecomunicaciones.
Real Decreto 203/2021, de 30 de marzo, por el que se aprueba el Reglamento de actuación y funcionamiento del sector público por medios electrónicos.
Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.
Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.
Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en al ámbito de la Administración Electrónica.
Real Decreto 43/2021, de 26 de enero, por el que se desarrolla el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información.
Orden PCI/487/2019, de 26 de abril, por la que se publica la Estrategia Nacional de Ciberseguridad 2019, aprobada por el Consejo de Seguridad Nacional.
También forman parte del marco normativo las restantes normas aplicables a la administración electrónica del Departamento derivadas de las anteriores y publicadas en las sedes electrónicas dentro del ámbito de aplicación de la PSI.
El Comité de Seguridad de las Tecnologías de la Información y las Comunicaciones del Ministerio de Trabajo y Economía Social mantendrá actualizado dicho marco normativo, especialmente las instrucciones técnicas de seguridad, de obligado cumplimiento, esenciales para lograr una adecuada, homogénea y coherente implantación de los requisitos y medidas recogidos en el Esquema Nacional de Seguridad.
Artículo 4. Principios de la Política de Seguridad.
La política de seguridad aplicará los principios básicos que se establecen en el ENS en el ámbito de la Administración electrónica, de acuerdo con el interés general, naturaleza y complejidad de la materia regulada, permitiendo una protección adecuada de la información y de los servicios.
Atendiendo al ENS, el Ministerio de Trabajo y Economía Social implementará diversas medidas de seguridad proporcionales a la naturaleza de la información y de los servicios a proteger, teniendo en cuenta la categoría de los sistemas afectados bajo los siguientes principios:
Protección de datos personales. Se adoptarán las medidas técnicas y organizativas destinadas a garantizar el nivel de seguridad exigido por la normativa vigente en relación con el tratamiento de datos de carácter personal.
Alcance estratégico. La seguridad de la información en el que deberá contar con el compromiso y apoyo de todos los niveles directivos de forma que pueda estar coordinada e integrada con el resto de las iniciativas estratégicas del Departamento para conformar un todo coherente y eficaz.
Seguridad Integral. La seguridad constituirá un proceso integral compuesto por todos los elementos técnicos, humanos, materiales y organizativos relacionados con el sistema basado en la mejora continua de todos ellos y del proceso en sí mismo.
Análisis y gestión de riesgos: Todos los sistemas afectados por la PSI, así como todos los tratamientos de datos personales, serán objeto de un análisis de riesgos que evalúe las amenazas y los riesgos a los que están expuestos. Este análisis, que deberá ajustarse, en todo caso, a un criterio de proporcionalidad a los riesgos potenciales y la criticidad y valor de la información y de los servicios afectados, y de acuerdo con los artículos 24, 25 y 32 del RGPD, el artículo 28 de la LOPD y 3 del RD 311/2022, cuando el sistema de información trate datos personales, se realizará:
1.º Regularmente, al menos una vez al año, revisando la situación del Sistema de Información para determinar si se han producido cambios que requieran una actualización en materia de seguridad.
2.º Cuando cambie la información manejada o los servicios prestados de manera significativa.
3.º Cuando ocurra un incidente grave de seguridad o se detecten vulnerabilidades graves.
Prevención, reacción, recuperación y mejora continua. Se implementará un proceso integral de prevención, reacción y recuperación frente a incidentes de seguridad con procedimientos de detección, análisis, comunicación, resolución y registro de las actuaciones para la mejora continua de la seguridad de los sistemas, designando un punto de contacto para las comunicaciones con respecto a incidentes detectados y estableciendo protocolos para el intercambio de información relacionada con el incidente, incluyendo las comunicaciones con los Equipos de Respuesta a Emergencias (CERT).
Líneas de defensa. Se implementará una estrategia de protección basada en múltiples capas, constituidas por medidas organizativas, físicas y lógicas, de tal forma que cuando una de las capas falla, el sistema implementado permitirá ganar tiempo para una reacción adecuada frente a los incidentes que no han podido evitarse; reducir la probabilidad de que el sistema sea comprometido en su conjunto y minimizar el impacto final sobre el mismo.
Reevaluación periódica e integridad y actualización del sistema. Se implementarán controles y evaluaciones regulares y periódicas de la seguridad (de forma interna o con la ayuda de terceros) para conocer en todo momento el estado de la seguridad de los sistemas con el objeto de adecuar su eficacia a la constante evolución de los riesgos y sistemas de protección, llegando incluso a un replanteamiento de la seguridad, si fuese necesario.
Función diferenciada: El Ministerio de Trabajo y Economía Social organizará su seguridad comprometiendo a todos los miembros del Departamento mediante la designación de diferentes roles de seguridad con responsabilidades claramente diferenciadas, tal y como se recoge en el artículo 6. Estos controles, así como los roles y responsabilidades de seguridad de todo el personal, estarán claramente definidos y documentados.
En los supuestos de tratamientos de datos personales se identificará además a la persona, organismo o unidad responsable del tratamiento y, en su caso, al encargado de tratamiento, de acuerdo con los dispuesto en el artículo 4, apartados 7 y 8 del RGPD.
Artículo 5. Requisitos de la seguridad de la información.
Tal y como establece el ENS, la política de seguridad debe desarrollarse aplicando una serie de requisitos mínimos:
Organización e implantación del proceso de seguridad. La seguridad deberá comprometer a todo el personal del Ministerio de Trabajo y Economía Social.
Análisis y gestión de los riesgos. Se realizará una gestión de los riesgos consistente en un proceso de identificación, análisis, evaluación y tratamiento a los que el sistema esté expuesto. Las medidas adoptadas para mitigar o suprimir los riesgos deberán estar justificadas y, en todo caso, existirá una proporcionalidad entre ellas y los riesgos.
⋯
La consulta de este documento no sustituye la lectura del Boletín Oficial del Estado correspondiente. No nos responsabilizamos de posibles incorrecciones producidas en la transcripción del original a este formato.