3. Otras disposiciones. . (2024/92-34)
Orden de 8 de mayo de 2024, por la que se establece la política de seguridad interior y seguridad de las tecnologías de la información y comunicaciones en el ámbito de la Consejería de Universidad, Investigación e Innovación y de sus entidades adscritas.
22 páginas totales
Página
Número 92 - Martes, 14 de mayo de 2024
página 44639/4
2. A los sistemas de información que traten datos personales se aplicará lo dispuesto
en la normativa vigente en materia de protección de datos, así como las recomendaciones
y directrices dictadas por el Consejo de Transparencia y Protección de Datos de
Andalucía, en materia de protección de datos.
3. Las unidades organizativas, entendiéndose por tal los órganos y las unidades
administrativas deben cumplir los requisitos mínimos de seguridad exigidos en el
Esquema Nacional de Seguridad (en adelante, ENS). En concreto, los requisitos mínimos
son los siguientes:
a) Organización e implantación del proceso de seguridad.
b) Análisis y gestión de los riesgos. En los supuestos de sistemas de información que
traten datos personales se realizará, con el asesoramiento del delegado de protección
de datos, un análisis de riesgos conforme al artículo 24 del Reglamento (UE) 2016/679
del Parlamento Europeo y del Consejo, de 27 de abril de 2016 y, en los supuestos de su
artículo 35, una evaluación de impacto relativa a la protección de datos.
c) Gestión de personal. Se implantarán los mecanismos necesarios para que cualquier
persona que acceda o pueda acceder a los sistemas de información de la Consejería
conozca sus responsabilidades, y de este modo se reduzca el riesgo derivado de un uso
indebido de dichos activos.
d) Profesionalidad. La seguridad de los sistemas de información estará atendida,
revisada y auditada por personal cualificado.
e) Autorización y control de los accesos. Se limitará el acceso a los activos de
información mediante la implantación de los mecanismos de identificación, autenticación
y autorización acordes con su calificación.
f) Protección de las instalaciones. Los sistemas de información estarán emplazados
en áreas seguras, protegidas por controles de acceso físicos adecuados a su criticidad.
Los locales donde se ubiquen los sistemas dispondrán de elementos adecuados para el
eficaz funcionamiento del equipamiento allí instalado.
g) Adquisición de productos y contratación de servicios de seguridad. Las diferentes
unidades organizativas identificarán los requisitos de seguridad a incluir para la
adquisición de productos o contratación de servicios de seguridad.
h) Mínimo privilegio. Otorgar a los usuarios los permisos estrictamente necesarios
sobre los sistemas y la información para el desempeño de sus funciones en el organismo
según sus perfiles individuales y específicos, eliminando cualquier función innecesaria o
inadecuada para conseguir este fin. Las funciones de operación y administración serán
desarrolladas exclusivamente por el personal autorizado.
i) Integridad y actualización del sistema. Se requerirá una autorización formal previa
a la instalación de un sistema por parte de la persona responsable del servicio de
acuerdo con lo dispuesto en el artículo 18 de esta orden. Se deberá conocer el estado
de la seguridad del sistema en relación con las recomendaciones y actualizaciones de
seguridad recomendadas por el fabricante.
j) Protección de la información almacenada y en tránsito. Toda la información
almacenada de forma centralizada será periódicamente respaldada. La información
que se transmita a través de redes de comunicaciones o soportes portátiles estará
adecuadamente protegida, teniendo en cuenta su calificación y criticidad, mediante
mecanismos que garanticen su seguridad.
k) Prevención ante otros sistemas de información interconectados. Se dispondrá
de un sistema de cortafuegos que separe la red interna del exterior. Todo el tráfico
atravesará dicho cortafuegos y solo se dejará transitar los flujos previamente autorizados.
Se asegurará la autenticidad del otro extremo de un canal de comunicación antes de
intercambiar información alguna.
l) Registro de actividad y detección de código dañino. Se registrarán aquellos
eventos que se consideren de interés, tanto para la detección de actividades que puedan
comprometer la seguridad, como para dejar constancia de aquellas otras actividades que
Depósito Legal: SE-410/1979. ISSN: 2253-802X
https://www.juntadeandalucia.es/eboja
00301588
BOJA
Boletín Oficial de la Junta de Andalucía
página 44639/4
2. A los sistemas de información que traten datos personales se aplicará lo dispuesto
en la normativa vigente en materia de protección de datos, así como las recomendaciones
y directrices dictadas por el Consejo de Transparencia y Protección de Datos de
Andalucía, en materia de protección de datos.
3. Las unidades organizativas, entendiéndose por tal los órganos y las unidades
administrativas deben cumplir los requisitos mínimos de seguridad exigidos en el
Esquema Nacional de Seguridad (en adelante, ENS). En concreto, los requisitos mínimos
son los siguientes:
a) Organización e implantación del proceso de seguridad.
b) Análisis y gestión de los riesgos. En los supuestos de sistemas de información que
traten datos personales se realizará, con el asesoramiento del delegado de protección
de datos, un análisis de riesgos conforme al artículo 24 del Reglamento (UE) 2016/679
del Parlamento Europeo y del Consejo, de 27 de abril de 2016 y, en los supuestos de su
artículo 35, una evaluación de impacto relativa a la protección de datos.
c) Gestión de personal. Se implantarán los mecanismos necesarios para que cualquier
persona que acceda o pueda acceder a los sistemas de información de la Consejería
conozca sus responsabilidades, y de este modo se reduzca el riesgo derivado de un uso
indebido de dichos activos.
d) Profesionalidad. La seguridad de los sistemas de información estará atendida,
revisada y auditada por personal cualificado.
e) Autorización y control de los accesos. Se limitará el acceso a los activos de
información mediante la implantación de los mecanismos de identificación, autenticación
y autorización acordes con su calificación.
f) Protección de las instalaciones. Los sistemas de información estarán emplazados
en áreas seguras, protegidas por controles de acceso físicos adecuados a su criticidad.
Los locales donde se ubiquen los sistemas dispondrán de elementos adecuados para el
eficaz funcionamiento del equipamiento allí instalado.
g) Adquisición de productos y contratación de servicios de seguridad. Las diferentes
unidades organizativas identificarán los requisitos de seguridad a incluir para la
adquisición de productos o contratación de servicios de seguridad.
h) Mínimo privilegio. Otorgar a los usuarios los permisos estrictamente necesarios
sobre los sistemas y la información para el desempeño de sus funciones en el organismo
según sus perfiles individuales y específicos, eliminando cualquier función innecesaria o
inadecuada para conseguir este fin. Las funciones de operación y administración serán
desarrolladas exclusivamente por el personal autorizado.
i) Integridad y actualización del sistema. Se requerirá una autorización formal previa
a la instalación de un sistema por parte de la persona responsable del servicio de
acuerdo con lo dispuesto en el artículo 18 de esta orden. Se deberá conocer el estado
de la seguridad del sistema en relación con las recomendaciones y actualizaciones de
seguridad recomendadas por el fabricante.
j) Protección de la información almacenada y en tránsito. Toda la información
almacenada de forma centralizada será periódicamente respaldada. La información
que se transmita a través de redes de comunicaciones o soportes portátiles estará
adecuadamente protegida, teniendo en cuenta su calificación y criticidad, mediante
mecanismos que garanticen su seguridad.
k) Prevención ante otros sistemas de información interconectados. Se dispondrá
de un sistema de cortafuegos que separe la red interna del exterior. Todo el tráfico
atravesará dicho cortafuegos y solo se dejará transitar los flujos previamente autorizados.
Se asegurará la autenticidad del otro extremo de un canal de comunicación antes de
intercambiar información alguna.
l) Registro de actividad y detección de código dañino. Se registrarán aquellos
eventos que se consideren de interés, tanto para la detección de actividades que puedan
comprometer la seguridad, como para dejar constancia de aquellas otras actividades que
Depósito Legal: SE-410/1979. ISSN: 2253-802X
https://www.juntadeandalucia.es/eboja
00301588
BOJA
Boletín Oficial de la Junta de Andalucía
