Sunday 19 July 2020

Sobre El Esquema Nacional De Seguridad En El Ámbito De La Administración Electrónica

El Real Decreto 3/2010, 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica tiene por objeto:

-regular el Esquema Nacional de Seguridad establecido en el artículo 42 de la Ley 11/2007, de 22 de junio, y
-determinar la política de seguridad que se ha de aplicar en la utilización de los medios electrónicos.

El Esquema Nacional de Seguridad

- está constituido por los principios básicos y requisitos mínimos requeridos para una protección adecuada de la información.

- será aplicado por las Administraciones públicas para asegurar
  • el acceso, 
  • integridad, 
  • disponibilidad, 
  • autenticidad, 
  • confidencialidad, 
  • trazabilidad y 
  • conservación de los 
    • datos, 
    • informaciones y 
    • servicios utilizados en medios electrónicos que gestionen en el ejercicio de sus competencias.

El ámbito de aplicación del real decreto será el establecido en el artículo 2 de la Ley 11/2007, de 22 de junio , estando excluidos del ámbito de aplicación indicado anteriormente los sistemas que tratan información clasificada u que está regulada por Ley 9/1968, de 5 de abril, de Secretos Oficiales y normas de desarrollo.
El objeto último de la seguridad de la información es asegurar que una organización administrativa cumpla con sus objetivos utilizando sistemas de información. 

En las decisiones en materia de seguridad deberán tenerse en cuenta los siguientes principios básicos:

a) Seguridad integral.
b) Gestión de riesgos.
c) Prevención, reacción y recuperación.
d) Líneas de defensa.
e) Reevaluación periódica.
f) Función diferenciada.

Resultado de imagen de seguridad 

La seguridad se entenderá como un proceso integral formado por todos los elementos 
  • técnicos, 
  • humanos, 
  • materiales y 
  • organizativos, relacionados con el sistema. 
La aplicación del Esquema Nacional de Seguridad estará presidida por este principio, que excluye cualquier actuación puntual o tratamiento coyuntural. 

Se prestará la máxima atención a 
- la concienciación de las personas que intervienen en el proceso 
- y a sus responsables jerárquicos,

para que,
- ni la ignorancia,
- ni la falta de organización y coordinación,
- ni instrucciones inadecuadas, sean fuentes de riesgo para la seguridad.

El análisis y gestión de riesgo será parte esencial del proceso de seguridad y deberá mantenerse permanentemente actualizado. 

La gestión de riesgos permitirá 
- el mantenimiento de un entorno controlado, 
- minimizando los riesgos hasta niveles aceptables. 

La reducción de estos niveles se realizará mediante el despliegue de medidas de seguridad, que establecerá un equilibrio entre la naturaleza de los datos y los tratamientos, los riesgos a los que estén expuestos y las medidas de seguridad.

Prevención, reacción y recuperación. La seguridad del sistema debe contemplar los aspectos de 
- prevención, 
- detección y 
- corrección, 
para conseguir que las amenazas 

- no se materialicen, 
- no afecten gravemente a la información que maneja, o los servicios que se prestan.

Las medidas de prevención deben eliminar o al menos reducir, la posibilidad de que las amenazas lleguen a materializarse con perjuicio para el sistema. Las medidas de prevención contemplarán, entre otras:
- la disuasión y 
- la reducción de la exposición.

Las medidas de detección estarán acompañadas de medidas de reacción, de forma que los incidentes de seguridad se atajen a tiempo.

Las medidas de recuperación permitirán la restauración de la información y los servicios, de forma que se pueda hacer frente a las situaciones en las que un incidente de seguridad inhabilite los medios habituales.

El sistema 

- garantizará la conservación de los datos e informaciones en soporte electrónico.
- mantendrá disponibles los servicios durante todo el ciclo vital de la información digital, a través de una concepción y procedimientos que sean la base para la preservación del patrimonio digital.

Resultado de imagen de seguridad 

Líneas de defensa. El sistema ha de disponer de una estrategia de protección constituida por múltiples capas de seguridad, dispuesta de forma que, cuando una de las capas falle, permita:

a) Ganar tiempo para una reacción adecuada frente a los incidentes que no han podido evitarse.
b) Reducir la probabilidad de que el sistema sea comprometido en su conjunto.
c) Minimizar el impacto final sobre el mismo.

Las líneas de defensa han de estar constituidas por medidas de naturaleza 
- organizativa, 
- física y 
- lógica.

Las medidas de seguridad se reevaluarán y actualizarán periódicamente, para adecuar su eficacia a la constante evolución de los riesgos y sistemas de protección, llegando incluso a un replanteamiento de la seguridad, si fuese necesario.

Resultado de imagen de seguridad 

La seguridad como función diferenciada. En los sistemas de información se diferenciará 

- el responsable de la información
- el responsable del servicio
- el responsable de la seguridad.

El responsable de la información determinará los requisitos de la información tratada; el responsable del servicio determinará los requisitos de los servicios prestados; y el responsable de seguridad determinará las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios.

La responsabilidad de la seguridad de los sistemas de información estará diferenciada de la responsabilidad sobre la prestación de los servicios.

La política de seguridad de la organización detallará 

- las atribuciones de cada responsable y 
- los mecanismos de coordinación y resolución de conflictos.

En cuanto a los requisitos mínimos de seguridad, todos los órganos superiores de las Administraciones Públicas deberán disponer formalmente de su política de seguridad que articule la gestión continuada de la seguridad, que será aprobada por el titular del órgano superior correspondiente. 

La política de seguridad se establecerá 

- de acuerdo con los principios básicos indicados y 
- se desarrollará aplicando los siguientes requisitos mínimos:

a) Organización e implantación del proceso de seguridad.
b) Análisis y gestión de los riesgos.
c) Gestión de personal.
d) Profesionalidad.
e) Autorización y control de los accesos.
f) Protección de las instalaciones.
g) Adquisición de productos.
h) Seguridad por defecto.
i) Integridad y actualización del sistema.
j) Protección de la información almacenada y en tránsito.
k) Prevención ante otros sistemas de información interconectados.
l) Registro de actividad.
m) Incidentes de seguridad.
n) Continuidad de la actividad.
o) Mejora continua del proceso de seguridad.

Se considerarán órganos superiores, los responsables directos de la ejecución de la acción del gobierno, central, autonómico o local, en un sector de actividad específico, de acuerdo con lo establecido en 

- la Ley 6/1997, de 14 de abril, de organización y funcionamiento de la Administración General del Estado y 
- Ley 50/1997, de 27 de noviembre, del Gobierno; 
- los estatutos de autonomía correspondientes y normas de desarrollo; 
- y la Ley 7/1985, de 2 de abril, reguladora de las bases del Régimen Local.

Los municipios podrán disponer de una política de seguridad común elaborada por la Diputación, Cabildo, Consejo Insular u órgano unipersonal correspondiente de aquellas otras corporaciones de carácter representativo a las que corresponda el gobierno y la administración autónoma de la provincia o, en su caso, a la entidad comarcal correspondiente a la que pertenezcan.

Todos los requisitos mínimos se exigirán en proporción a los riesgos identificados en cada sistema, pudiendo algunos no requerirse en sistemas sin riesgos significativos (se cumplirán de acuerdo con lo establecido en el artículo 27).

En cuanto a la organización e implantación del proceso de seguridad. La seguridad deberá comprometer a todos los miembros de la organización. La política de seguridad deberá identificar unos claros responsables de velar por su cumplimiento y ser conocida por todos los miembros de la organización administrativa.

Por lo que se refiere al análisis y gestión de los riesgos. Cada organización que desarrolle e implante sistemas para el tratamiento de la información y las comunicaciones realizará su propia gestión de riesgos, que se realizará por medio del análisis y tratamiento de los riesgos a los que está expuesto el sistema. Las medidas adoptadas para mitigar o suprimir los riesgos 

- deberán estar justificadas y, en todo caso, 
- existirá una proporcionalidad entre ellas y los riesgos.

Por lo que respecta a la gestión de personal, todo el personal relacionado con la información y los sistemas 

- deberá ser formado e informado de sus deberes y obligaciones en materia de seguridad. 
- sus actuaciones deben ser supervisadas para verificar que se siguen los procedimientos establecidos.
- el personal relacionado con la información y los sistemas, ejercitará y aplicará los principios de seguridad en el desempeño de su cometido.

El significado y alcance del uso seguro del sistema se concretará y plasmará en unas normas de seguridad.

Con la finalidad de corregir o exigir responsabilidades, cada usuario que acceda a la información del sistema debe estar identificado de forma única, de modo que se sepa

- quién recibe derechos de acceso, 
- de qué tipo son éstos, y 
- quién ha realizado determinada actividad.

Profesionalidad. La seguridad de los sistemas estará 
- atendida, 
- revisada y 
- auditada por personal cualificado, dedicado e instruido en todas las fases de su ciclo de vida: 
  • instalación, 
  • mantenimiento, 
  • gestión de incidencias y 
  • desmantelamiento.
El personal de las Administraciones públicas recibirá la formación específica necesaria para garantizar la seguridad de las tecnologías de la información aplicables a los sistemas y servicios de la Administración.

De manera objetiva y no discriminatoria, las Administraciones Públicas exigirán, que las organizaciones que les presten servicios de seguridad cuenten con profesionales cualificados y con unos niveles idóneos de gestión y madurez en los servicios prestados.

Autorización y control de los accesos. El acceso al sistema de información deberá ser 
- controlado y 
- limitado a 
  • los usuarios, 
  • procesos, 
  • dispositivos y 
  • otros sistemas de información, debidamente autorizados, 
  • restringiendo el acceso a las funciones permitidas.
Protección de las instalaciones. Los sistemas se instalarán en 

- áreas separadas, dotadas de un procedimiento de 
- control de acceso
- las salas deben estar cerradas y disponer de un 
- control de llaves.

Adquisición de productos de seguridad y contratación de servicios de seguridad. En la adquisición de productos de seguridad de las tecnologías de la información y comunicaciones que vayan a ser empleados por las Administraciones Públicas se utilizarán, de forma proporcionada a la categoría del sistema y nivel de seguridad determinados, los que tengan certificada la funcionalidad de seguridad relacionada con el objeto de su adquisición, salvo en aquellos casos en que las exigencias de proporcionalidad en cuanto a los riesgos asumidos no lo justifiquen a juicio del responsable de Seguridad.

La certificación deberá estar de acuerdo con las normas y estándares de mayor reconocimiento internacional en el ámbito de la seguridad funcional.

El Organismo de Certificación del Esquema Nacional de Evaluación y Certificación de Seguridad de las Tecnologías de la Información, constituido al amparo de lo dispuesto en el artículo 2.2.c) del Real Decreto 421/2004, de 12 de marzo, y regulado por la orden PRE/2740/2007, de 19 de septiembre, dentro de sus competencias, determinará el criterio a cumplir en función del uso previsto del producto a que se refiera, en relación con el nivel de evaluación, otras certificaciones de seguridad adicionales que se requieran normativamente, así como, excepcionalmente, en los casos en que no existan productos certificados. El proceso indicado, se efectuará teniendo en cuenta los criterios y metodologías de evaluación, determinados por las normas internacionales que recoge la citada orden ministerial.
Imagen relacionada
Seguridad por defecto. Los sistemas deben diseñarse y configurarse de forma que garanticen la seguridad por defecto, según lo cual:

a) El sistema proporcionará la mínima funcionalidad requerida para que la organización alcance sus objetivos.

b) Las funciones de operación, administración y registro de actividad serán las mínimas necesarias, y se asegurará que sólo son accesibles por las personas, o desde emplazamientos o equipos, autorizados, pudiendo exigirse en su caso restricciones de horario y puntos de acceso facultados.

c) En un sistema de explotación se eliminarán o desactivarán, mediante el control de la configuración, las funciones que 

- no sean de interés, 
- sean innecesarias e, incluso, 
- las que sean inadecuadas al fin que se persigue.

d) El uso ordinario del sistema ha de ser sencillo y seguro, de forma que una utilización insegura requiera de un acto consciente por parte del usuario.


Integridad y actualización del sistema. Todo elemento físico o lógico requerirá autorización formal previa a su instalación en el sistema. Se deberá conocer, en todo momento, el estado de seguridad de los sistemas en relación a 
- las especificaciones de los fabricantes, 
- a las vulnerabilidades y 
- a las actualizaciones que les afecten, 
reaccionando con diligencia para gestionar el riesgo a la vista del estado de seguridad de los mismos.


Protección de información almacenada y en tránsito. En la estructura y organización de la seguridad del sistema, se prestará especial atención a la información almacenada o en tránsito a través de entornos inseguros. 

Tendrán la consideración de entornos inseguros 

- los equipos portátiles, 
- asistentes personales (PDA), 
- dispositivos periféricos,
- soportes de información y comunicaciones sobre redes abiertas o con cifrado débil.

Forman parte de la seguridad los procedimientos que aseguren la recuperación y conservación a largo plazo de los documentos electrónicos producidos por las Administraciones públicas en el ámbito de sus competencias.

Toda información en soporte no electrónico, que haya sido causa o consecuencia directa de la información electrónica, deberá estar protegida con el mismo grado de seguridad que ésta. Para lo cual se aplicarán las medidas que correspondan a la naturaleza del soporte en que se encuentren, de conformidad con las normas de aplicación a la seguridad de los mismos.






Continue reading
  1. Viajes 9 Dias
  2. Are Lifestyle Blogs Profitable
  3. Viajes 60 Años
  4. Viaje To English
  5. Lifestyle Amrit Maan
  6. Viaje Conjugation
  7. Why Lifestyle Center
  8. Curiosidades Ornitorrinco
  9. Curiosidades Will Smith
  10. Viaje 94
  11. Curiosidades Yu Yu Hakusho
  12. Viaje 5 Dias España
  13. 4 To Viaje De Cristobal Colon
  14. Curiosidades Historia
  15. 69 Curiosidades De Dragon Ball Super Broly
  16. Curiosidades Cortas
  17. 85 Curiosidades De Halo
  18. 01 Viaje Al Centro De La Tierra
  19. How Often Do Lifestyle Condoms Break
  20. Viaje How Do You Pronounce It
  21. Where To Buy Viaje Cigars
  22. Synonyms For Viaje
  23. Curiosidades Uruguay
  24. Viaje 80 Dias Alrededor Mundo
  25. Curiosidades Karl Marx
  26. Lifestyle For Hypertension
  27. Viaje Hamaki
  28. Viaje Kenia Y Zanzibar Precio
  29. Viaje Uber Gratis
  30. Lifestyle And Mental Health
  31. Lifestyle Online
  32. Lifestyle Hashtags
  33. Viaje Que Significa
  34. Viajar Vs Recorrer
  35. Viaje Noruega
  36. Viaje Bruce Banner
  37. Lifestyle Vape
  38. How Many Lifestyle Apps Are There
  39. Lifestyle Magazine
  40. Viaje Gold Bar Cigar
  41. Viaje Friends And Family
  42. Lifestyle Without Money
  43. Lifestyle Where You Don'T Move
  44. Lifestyle Wellness
  45. When Is Lifestyle Sports Reopening
  46. Lifestyle Youtube Channels
  47. Viaje Redondo Pelicula Completa
  48. Curiosidades Walt Disney
  49. What Lifestyle Means
  50. Viaje Entre Regiones Chile
  51. Curiosidades Ford Vs Ferrari
  52. Is Viajar Irregular
  53. Curiosidades Sobre O Corpo Humano
  54. Viaje Na Viagem Los Angeles
  55. Viaje Y Mesa Electoral
  56. Viaje Jalapeno
  57. Curiosidades Youtube
  58. 69 Curiosidades De Dragon Ball Super Broly
  59. Viaje 01
  60. Curiosidades Woodstock
  61. Curiosidades Estados Unidos
  62. Another Word For Viaje
  63. Curiosidades Zoey 101
  64. Curiosidades Harry Potter
  65. Curiosidades Sobre Gatos
  66. Lifestyle Discount Code
  67. Viaje 1 Pelicula
  68. Curiosidades Plants Vs Zombies
  69. Viajes Falabella
  70. Lifestyle Lite
  71. Where Are Lifestyle Campers Made
  72. Lifestyle Apparel
  73. How Many Lifestyle Apps Are There
  74. Curiosidades Ultimo Capitulo Friends
  75. Viaje Farmer Bill Hatchet
  76. Curiosidades Youtube
  77. Curiosidades Forrest Gump
  78. Viaje A Las Estrellas
  79. Curiosidades Rick And Morty
  80. Lifestyle Questions
  81. Lifestyle 2U
  82. Lifestyle Where You Don'T Move
  83. Viaje 3 De Cristobal Colon
  84. Viaje Interior
  85. Lifestyle Asia
  86. Viaje Zombie Farmer Bill Hatchet
  87. Lifestyle Museum
  88. Lifestyle Amrit Maan Lyrics
  89. Lifestyle 011
  90. Are Lifestyle Sports Still Delivering
  91. Curiosidades Plants Vs Zombies
  92. 4 To Viaje De Colon
  93. Curiosidades 40 Anos
  94. Lifestyle Design
  95. Lifestyle Furniture
  96. Lifestyle And Mobility
  97. Curiosidades Xbox
  98. Viaje Salvaje
  99. Viaje Republica Dominicana
  100. Curiosidades Xalmimilulco
  101. Lifestyle Icon
  102. Lifestyle Zimbabwe
  103. Curiosidades Keanu Reeves
  104. Viaje 4 Dias
  105. Curiosidades 3M
  106. Lifestyle Home Products
  107. How To Spell Viaje In English
  108. Lifestyle 18 Apartment
  109. Viaje Farmhand Andre Zombie
  110. Is Viaje A Noun
  111. Lifestyle 033
  112. Will Lifestyle Online Shopping
  113. Curiosidades Historicas
  114. Curiosidades Lingua Portuguesa
  115. Viaje Kenia Y Zanzibar Precio
  116. Viaje 3 De La Tierra Ala Luna
  117. Can Lifestyle Changes Reverse Coronary Heart Disease
  118. Lifestyle Ecig
  119. Viaje Quechua
  120. Viaje Full Moon
  121. Where Are Lifestyle Campers Made
  122. Lifestyle Yacht Sales
  123. Viaje Japanese Cigar
  124. Lifestyle Websites
  125. Viaje New York
  126. Curiosidades Xpresstv
  127. Lifestyle Xperiences 365
  128. Curiosidades 4 Julio
  129. Lifestyle Podcasts
  130. How Much Is Lifestyle Lift
  131. Curiosidades Peru
  132. Curiosidades 2 Guerra Mundial
  133. Viaje Del Heroe
  134. Lifestyle Of A Butterfly
  135. Lifestyle And Mobility
  136. Lifestyle Blogs Like Cup Of Jo
  137. Lifestyle 535 Series Iii
  138. Viaje Hamaki Omakase
  139. Lifestyle Tv
  140. What Does Curiosidades Mean
  141. Curiosidades Netflix
  142. Viaje A La Semilla
  143. Curiosidades Finlandia
  144. Lifestyle Vs Diet
  145. Curiosidades Karate
  146. Lifestyle And Mobility
  147. Can Lifestyle Changes Reverse Coronary Heart Disease
  148. How To Pronounce Viaje In Spanish
  149. Curiosidades 8 Millas
  150. Curiosidades Que Você Não Sabia
  151. Why Sedentary Lifestyle Is Bad
  152. 01 Viaje Al Centro De La Tierra
  153. Lifestyle Fitness Equipment
  154. Curiosidades 2019
  155. Viaje Gender
  156. Lifestyle 235
  157. Lifestyle Zimbabwe
  158. Viaje 8 Dias Egipto
  159. Lifestyle Def
  160. Viaje 9 Dias Japon
  161. Viaje Na Viagem Los Angeles
  162. Lifestyle 8925 Home Gym
  163. Viaje 7 Dias
  164. Curiosidades Y Algo Mas
  165. Curiosidades 2 Guerra Mundial
  166. Viaje Y Turismo Pedraza
  167. With Lifestyle Change
  168. Viajar Quotes
  169. Lifestyle Inflation
  170. Viaje Mitico
Posted by at

No comments:

Post a Comment

Subscribe to: Post Comments (Atom)