3. Otras disposiciones. . (2024/69-22)
Resolución de 25 de marzo de 2024, de la Agencia Digital de Andalucía, por la que se determina la gestión del repositorio de identidades de la Junta de Andalucía.
10 páginas totales
Página
BOJA
Boletín Oficial de la Junta de Andalucía
Número 69 - Miércoles, 10 de abril de 2024
página 42790/10
- Se faculta al RDCC a autorizar a los organismos la utilización de una réplica propia
del Directorio de Correo Corporativo o de una parte de él, previa justificación de las
razones técnicas o de cualquier otra índole.
- Los organismos que en la actualidad dispongan de una réplica de la totalidad o parte
del servicio de DCC deberán justificar su necesidad ante el requerimiento del RDCC o la
persona que este determine.
- Para la autorización deberán facilitar al menos los siguientes datos:
• Servidor donde desean realizar la réplica.
• La/s rama/s que desean replicar.
• Persona responsable de la administración de la réplica.
• Justificación de la necesidad de disponer de una réplica.
Doce. Cumplimiento: control y auditoría.
La Agencia Digital de Andalucía pondrá los medios necesarios para el control efectivo
de las autorizaciones emitidas.
La Agencia Digital de Andalucía podrá auditar y monitorizar las actividades realizadas
sobre el DCC, con el objetivo de prevenir y detectar incidentes de seguridad, verificando
el cumplimiento de las medidas de seguridad establecidas.
El proceso de auditoría y monitorización será llevado a cabo por el personal técnico
de la ADA o bien por parte de la persona física o jurídica con la especialización suficiente
que la Agencia haya estimado para la realización de esta tarea.
Bajo los procesos de auditoría y monitorización podrá solicitarse a las entidades
integradas en el DCC toda aquella información necesaria y pertinente para asegurar
el correcto cumplimiento de las normas en seguridad, identidad y protección del dato
vigentes. La participación en estos procesos no tendrá carácter optativo, siendo
obligatoria la colaboración de las entidades. La falta de colaboración en los procesos
aquí descritos derivará en las acciones que se consideren oportunas.
Entre las principales tareas susceptibles de ser sometidas a control y auditoría por
parte de la ADA se encontrarán, al menos, las siguientes:
- Revisión de cuentas activas.
- Autorizaciones especiales.
- Vigencia de los usuarios de alta en el sistema.
- Cumplimiento de las normas detalladas en esta resolución.
- Cumplimiento de las normas de nomenclatura en cuentas.
- Seguimiento y control de las ramas asociadas a los organismos.
- Identificación fehaciente de los titulares de las cuentas en el directorio.
- Seguimiento de asignación y uso de las cuentas genéricas.
El RDCC o la persona designada por la ADA podrá establecer las tareas de control y
auditoría que estime oportunas.
Catorce. Autenticación en sistemas basada en el Directorio de Correo Corporativo.
Los sistemas de información cuyo nivel de seguridad permita el acceso mediante
nombre de usuario y contraseña usarán, con carácter general, la autenticación basada
en el Directorio de Correo Corporativo al objeto de facilitar el cumplimiento del artículo 17,
«Autorización y control de los accesos», del Real Decreto 311/2022, de 3 de mayo, por el
que se regula el Esquema Nacional de Seguridad. En este sentido, la Agencia Digital de
Andalucía facilitará la plataforma de integración con el Directorio de Correo Corporativo
para la gestión de identidades y accesos necesaria para el proceso de autenticación.
Depósito Legal: SE-410/1979. ISSN: 2253-802X
https://www.juntadeandalucia.es/eboja
00299737
Trece. Comunicación y notificación de incidentes de seguridad.
En los incidentes de seguridad que afecten al DCC, las entidades participantes
del DCC deberán seguir las medidas de comunicación y notificación de incidentes
de seguridad según la Resolución de 13 de julio de 2018, de la Dirección General de
Telecomunicaciones y Sociedad de la Información, por la que se establecen normas
sobre gestión de incidentes de seguridad TIC.
Boletín Oficial de la Junta de Andalucía
Número 69 - Miércoles, 10 de abril de 2024
página 42790/10
- Se faculta al RDCC a autorizar a los organismos la utilización de una réplica propia
del Directorio de Correo Corporativo o de una parte de él, previa justificación de las
razones técnicas o de cualquier otra índole.
- Los organismos que en la actualidad dispongan de una réplica de la totalidad o parte
del servicio de DCC deberán justificar su necesidad ante el requerimiento del RDCC o la
persona que este determine.
- Para la autorización deberán facilitar al menos los siguientes datos:
• Servidor donde desean realizar la réplica.
• La/s rama/s que desean replicar.
• Persona responsable de la administración de la réplica.
• Justificación de la necesidad de disponer de una réplica.
Doce. Cumplimiento: control y auditoría.
La Agencia Digital de Andalucía pondrá los medios necesarios para el control efectivo
de las autorizaciones emitidas.
La Agencia Digital de Andalucía podrá auditar y monitorizar las actividades realizadas
sobre el DCC, con el objetivo de prevenir y detectar incidentes de seguridad, verificando
el cumplimiento de las medidas de seguridad establecidas.
El proceso de auditoría y monitorización será llevado a cabo por el personal técnico
de la ADA o bien por parte de la persona física o jurídica con la especialización suficiente
que la Agencia haya estimado para la realización de esta tarea.
Bajo los procesos de auditoría y monitorización podrá solicitarse a las entidades
integradas en el DCC toda aquella información necesaria y pertinente para asegurar
el correcto cumplimiento de las normas en seguridad, identidad y protección del dato
vigentes. La participación en estos procesos no tendrá carácter optativo, siendo
obligatoria la colaboración de las entidades. La falta de colaboración en los procesos
aquí descritos derivará en las acciones que se consideren oportunas.
Entre las principales tareas susceptibles de ser sometidas a control y auditoría por
parte de la ADA se encontrarán, al menos, las siguientes:
- Revisión de cuentas activas.
- Autorizaciones especiales.
- Vigencia de los usuarios de alta en el sistema.
- Cumplimiento de las normas detalladas en esta resolución.
- Cumplimiento de las normas de nomenclatura en cuentas.
- Seguimiento y control de las ramas asociadas a los organismos.
- Identificación fehaciente de los titulares de las cuentas en el directorio.
- Seguimiento de asignación y uso de las cuentas genéricas.
El RDCC o la persona designada por la ADA podrá establecer las tareas de control y
auditoría que estime oportunas.
Catorce. Autenticación en sistemas basada en el Directorio de Correo Corporativo.
Los sistemas de información cuyo nivel de seguridad permita el acceso mediante
nombre de usuario y contraseña usarán, con carácter general, la autenticación basada
en el Directorio de Correo Corporativo al objeto de facilitar el cumplimiento del artículo 17,
«Autorización y control de los accesos», del Real Decreto 311/2022, de 3 de mayo, por el
que se regula el Esquema Nacional de Seguridad. En este sentido, la Agencia Digital de
Andalucía facilitará la plataforma de integración con el Directorio de Correo Corporativo
para la gestión de identidades y accesos necesaria para el proceso de autenticación.
Depósito Legal: SE-410/1979. ISSN: 2253-802X
https://www.juntadeandalucia.es/eboja
00299737
Trece. Comunicación y notificación de incidentes de seguridad.
En los incidentes de seguridad que afecten al DCC, las entidades participantes
del DCC deberán seguir las medidas de comunicación y notificación de incidentes
de seguridad según la Resolución de 13 de julio de 2018, de la Dirección General de
Telecomunicaciones y Sociedad de la Información, por la que se establecen normas
sobre gestión de incidentes de seguridad TIC.
