3. Otras disposiciones. . (2024/69-22)
Resolución de 25 de marzo de 2024, de la Agencia Digital de Andalucía, por la que se determina la gestión del repositorio de identidades de la Junta de Andalucía.
10 páginas totales
Página
Número 69 - Miércoles, 10 de abril de 2024
página 42790/2
El Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional
de Seguridad indica, en su artículo 17, en relación con la «Autorización y control de los
accesos»:
«El acceso controlado a los sistemas de información comprendidos en el ámbito
de aplicación de este Real Decreto deberá estar limitado a los usuarios, procesos,
dispositivos u otros sistemas de información, debidamente autorizados, y exclusivamente
a las funciones permitidas.»
Dentro del marco operacional, constituido por un conjunto de medidas relacionadas
con la organización global de la seguridad, destacan las siguientes:
«- [op.pl.2.4] Sistema de identificación y autenticación de usuarios, incluyendo el
uso de claves concertadas, contraseñas, tarjetas de identificación, biometría, u otras
de naturaleza análoga, y el uso de ficheros o directorios para autenticar al usuario y
determinar sus derechos de acceso.
- [op.acc.5.1] Antes de proporcionar las credenciales de autenticación a las entidades,
usuarios o procesos, estos deberán haberse identificado y registrado de manera fidedigna
ante el sistema o ante un Prestador Cualificado de Servicios de Confianza o un proveedor
de identidad electrónica reconocido por las Administraciones Públicas, de conformidad
con lo dispuesto en la Ley 39/2015, de 1 de octubre.
- [op.acc.1.1] Se podrá utilizar como identificador único los sistemas de identificación
previstos en la normativa de aplicación, entre ellos, los sistemas de clave concertada
y cualquier otro sistema que las Administraciones consideren válido en los términos
y condiciones establecidos en la Ley 39/2015, de 1 de octubre, del Procedimiento
Administrativo Común de las Administraciones Públicas.
- [op.acc.1.5] En los supuestos de comunicaciones electrónicas, las partes
intervinientes se identificarán atendiendo a los mecanismos previstos en la legislación
europea y nacional en la materia, con la siguiente correspondencia entre los niveles de la
dimensión de autenticidad de los sistemas de información a los que se tiene acceso y los
niveles de seguridad (bajo, sustancial, alto) de los sistemas de identificación electrónica
previstos en el Reglamento (UE) núm. 910/2014, del Parlamento Europeo y del Consejo,
de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza
para las transacciones electrónicas en el mercado interior y por el que se deroga la
Directiva 1999/93/CE y sus normas de desarrollo o ejecución que resulten de aplicación.
- [op.acc.1.r1.1] La identificación del usuario permitirá al Responsable del Sistema, al
Responsable de la Seguridad o a sus respectivos administradores delegados, singularizar
a la persona asociada al mismo, así como sus responsabilidades en el sistema.»
Por su parte, la Exposición de Motivos de la Ley 9/2007, de 22 de octubre, de la
Administración de la Junta de Andalucía, la Junta de Andalucía expresa su firme voluntad
de apostar por la adopción de las nuevas tecnologías en orden a simplificar la gestión
administrativa. Para ello, la figura de los empleados públicos de la Junta de Andalucía
debe delimitarse, resultando necesario una gestión unificada de su identidad, conforme a
las necesidades vigentes.
La mencionada Ley 9/2007 recoge, asimismo, en el apartado 4 del artículo 7, que
«La transmisión y recepción de información en red o de documentos electrónicos entre
la Administración de la Junta de Andalucía y la ciudadanía, entre los órganos o entidades
de la Junta de Andalucía entre sí, o entre estos y otras Administraciones Públicas podrá
realizarse a través de los medios y soportes electrónicos o telemáticos siempre que se
garantice el cumplimiento de […]» varios requisitos, siendo especialmente relevante el
indicado en la letra c): «la existencia de medidas de seguridad que eviten la interceptación
y alteración de las comunicaciones, así como los accesos no autorizados».
Por otra parte, el artículo 20 de la Resolución de 22 de octubre de 2020, de la
Secretaría General para la Administración Pública, por la que se aprueba el Código
de Conducta en el uso de las Tecnologías de la Información y la Comunicación para
Depósito Legal: SE-410/1979. ISSN: 2253-802X
https://www.juntadeandalucia.es/eboja
00299737
BOJA
Boletín Oficial de la Junta de Andalucía
página 42790/2
El Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional
de Seguridad indica, en su artículo 17, en relación con la «Autorización y control de los
accesos»:
«El acceso controlado a los sistemas de información comprendidos en el ámbito
de aplicación de este Real Decreto deberá estar limitado a los usuarios, procesos,
dispositivos u otros sistemas de información, debidamente autorizados, y exclusivamente
a las funciones permitidas.»
Dentro del marco operacional, constituido por un conjunto de medidas relacionadas
con la organización global de la seguridad, destacan las siguientes:
«- [op.pl.2.4] Sistema de identificación y autenticación de usuarios, incluyendo el
uso de claves concertadas, contraseñas, tarjetas de identificación, biometría, u otras
de naturaleza análoga, y el uso de ficheros o directorios para autenticar al usuario y
determinar sus derechos de acceso.
- [op.acc.5.1] Antes de proporcionar las credenciales de autenticación a las entidades,
usuarios o procesos, estos deberán haberse identificado y registrado de manera fidedigna
ante el sistema o ante un Prestador Cualificado de Servicios de Confianza o un proveedor
de identidad electrónica reconocido por las Administraciones Públicas, de conformidad
con lo dispuesto en la Ley 39/2015, de 1 de octubre.
- [op.acc.1.1] Se podrá utilizar como identificador único los sistemas de identificación
previstos en la normativa de aplicación, entre ellos, los sistemas de clave concertada
y cualquier otro sistema que las Administraciones consideren válido en los términos
y condiciones establecidos en la Ley 39/2015, de 1 de octubre, del Procedimiento
Administrativo Común de las Administraciones Públicas.
- [op.acc.1.5] En los supuestos de comunicaciones electrónicas, las partes
intervinientes se identificarán atendiendo a los mecanismos previstos en la legislación
europea y nacional en la materia, con la siguiente correspondencia entre los niveles de la
dimensión de autenticidad de los sistemas de información a los que se tiene acceso y los
niveles de seguridad (bajo, sustancial, alto) de los sistemas de identificación electrónica
previstos en el Reglamento (UE) núm. 910/2014, del Parlamento Europeo y del Consejo,
de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza
para las transacciones electrónicas en el mercado interior y por el que se deroga la
Directiva 1999/93/CE y sus normas de desarrollo o ejecución que resulten de aplicación.
- [op.acc.1.r1.1] La identificación del usuario permitirá al Responsable del Sistema, al
Responsable de la Seguridad o a sus respectivos administradores delegados, singularizar
a la persona asociada al mismo, así como sus responsabilidades en el sistema.»
Por su parte, la Exposición de Motivos de la Ley 9/2007, de 22 de octubre, de la
Administración de la Junta de Andalucía, la Junta de Andalucía expresa su firme voluntad
de apostar por la adopción de las nuevas tecnologías en orden a simplificar la gestión
administrativa. Para ello, la figura de los empleados públicos de la Junta de Andalucía
debe delimitarse, resultando necesario una gestión unificada de su identidad, conforme a
las necesidades vigentes.
La mencionada Ley 9/2007 recoge, asimismo, en el apartado 4 del artículo 7, que
«La transmisión y recepción de información en red o de documentos electrónicos entre
la Administración de la Junta de Andalucía y la ciudadanía, entre los órganos o entidades
de la Junta de Andalucía entre sí, o entre estos y otras Administraciones Públicas podrá
realizarse a través de los medios y soportes electrónicos o telemáticos siempre que se
garantice el cumplimiento de […]» varios requisitos, siendo especialmente relevante el
indicado en la letra c): «la existencia de medidas de seguridad que eviten la interceptación
y alteración de las comunicaciones, así como los accesos no autorizados».
Por otra parte, el artículo 20 de la Resolución de 22 de octubre de 2020, de la
Secretaría General para la Administración Pública, por la que se aprueba el Código
de Conducta en el uso de las Tecnologías de la Información y la Comunicación para
Depósito Legal: SE-410/1979. ISSN: 2253-802X
https://www.juntadeandalucia.es/eboja
00299737
BOJA
Boletín Oficial de la Junta de Andalucía
