3. Otras disposiciones. . (2024/221-50)
Orden de 5 de noviembre de 2024, por la que se establece la política de seguridad de la información de la Consejería de Agricultura, Pesca, Agua y Desarrollo Rural.
21 páginas totales
Página
Zahoribo únicamente muestra información pública que han sido publicada previamente por organismos oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
BOJA
Boletín Oficial de la Junta de Andalucía
Número 221 - Miércoles, 13 de noviembre de 2024
página 53833/6
Artículo 7. Requisitos mínimos de seguridad.
La política de seguridad de la información de la Consejería se desarrollará de acuerdo
a los siguientes requisitos mínimos, exigibles en proporción a los riesgos identificados
para cada sistema:
a) Organización e implantación del proceso de seguridad, que debe comprometer a
todo el personal de la Consejería, informados y conocedores de la presente política y de
las responsabilidades de su cumplimiento.
b) Análisis y gestión de los riesgos.
c) Gestión de personal. Se implantarán los mecanismos necesarios para que cualquier
persona que acceda o pueda acceder a los sistemas de información de la Consejería
Depósito Legal: SE-410/1979. ISSN: 2253-802X
https://www.juntadeandalucia.es/eboja
00310779
y riesgos. Estos controles estarán claramente definidos y documentados, en orden a
reducir la posible materialización de amenazas, favorecer su rápida detección y permitir
una eficaz gestión de la respuesta y restauración de la información y servicios afectados.
Se adoptarán medidas que permitan detectar incidentes de seguridad y se
establecerán canales adecuados para su comunicación y mecanismos para responder
eficazmente a los incidentes en el menor tiempo posible, designando un punto de contacto
para centralizar y gestionar el intercambio de información asociada a los incidentes
de seguridad, así como estableciendo protocolos para el intercambio de información
relacionada con dichos incidentes.
Se deberá garantizar en la medida de lo posible la disponibilidad de los servicios
ofrecidos a la ciudadanía, en función de la criticidad de los mismos, así como la
conservación de los datos e información en soporte electrónico.
d) Existencia de líneas de defensa. Se adoptará una estrategia de protección basada
en múltiples capas de seguridad, constituidas por medidas organizativas, físicas y lógicas,
que permitan evitar en la medida de lo posible, que la información o los servicios se vean
perjudicados por incidentes de seguridad y desarrollar una adecuada reacción ante los
mismos, evitando una afectación del conjunto de activos.
e) Principio de vigilancia continua y re-evaluación periódica. Dado que los servicios
se pueden degradar rápidamente debido a incidentes que, en función de su gravedad,
pueden producir desde una simple desaceleración hasta la detención de los mismos,
se debe monitorizar la operación de los servicios de manera continua para detectar
anomalías en los niveles de prestación requeridos, actuando en consecuencia. La revisión
de alertas, eventos y logs es especialmente relevante para establecer líneas de defensa.
Para ello, se implantarán mecanismos de detección, análisis y reporte que lleguen a
las personas responsables regularmente, a efectos de detectar cuándo se produce una
desviación significativa de los parámetros de servicio marcados.
f) Principio de responsabilidad. Todas las personas que de una forma u otra participen
en la utilización, operación, administración o gestión de un sistema de información,
serán responsables de observar las normas de seguridad establecidas. Para ello las
correspondientes responsabilidades deberán quedar determinadas de forma explícita, y
ser comunicadas a cada una de ellas.
Se diferenciará el responsable de la información, el responsable del servicio, el
responsable de la seguridad y el responsable del sistema, estando diferenciada la
responsabilidad sobre la explotación de los sistemas de información respecto a la
responsabilidad de la seguridad.
g) Gestión de la seguridad en el ciclo de vida de los activos: los recursos informáticos
y la información se encontrarán inventariados, con una persona responsable asociada
y, en caso de ser necesario, una persona custodia de los mismos. Los inventarios se
mantendrán actualizados para asegurar su validez. Los activos de información estarán
clasificados de acuerdo a su sensibilidad y criticidad para el desarrollo de la actividad de
la Consejería, en función de la cual se establecerán las medidas de seguridad exigidas
para su protección, teniéndose en cuenta las especificaciones de seguridad en todas las
fases del ciclo de vida de los mismos.
Boletín Oficial de la Junta de Andalucía
Número 221 - Miércoles, 13 de noviembre de 2024
página 53833/6
Artículo 7. Requisitos mínimos de seguridad.
La política de seguridad de la información de la Consejería se desarrollará de acuerdo
a los siguientes requisitos mínimos, exigibles en proporción a los riesgos identificados
para cada sistema:
a) Organización e implantación del proceso de seguridad, que debe comprometer a
todo el personal de la Consejería, informados y conocedores de la presente política y de
las responsabilidades de su cumplimiento.
b) Análisis y gestión de los riesgos.
c) Gestión de personal. Se implantarán los mecanismos necesarios para que cualquier
persona que acceda o pueda acceder a los sistemas de información de la Consejería
Depósito Legal: SE-410/1979. ISSN: 2253-802X
https://www.juntadeandalucia.es/eboja
00310779
y riesgos. Estos controles estarán claramente definidos y documentados, en orden a
reducir la posible materialización de amenazas, favorecer su rápida detección y permitir
una eficaz gestión de la respuesta y restauración de la información y servicios afectados.
Se adoptarán medidas que permitan detectar incidentes de seguridad y se
establecerán canales adecuados para su comunicación y mecanismos para responder
eficazmente a los incidentes en el menor tiempo posible, designando un punto de contacto
para centralizar y gestionar el intercambio de información asociada a los incidentes
de seguridad, así como estableciendo protocolos para el intercambio de información
relacionada con dichos incidentes.
Se deberá garantizar en la medida de lo posible la disponibilidad de los servicios
ofrecidos a la ciudadanía, en función de la criticidad de los mismos, así como la
conservación de los datos e información en soporte electrónico.
d) Existencia de líneas de defensa. Se adoptará una estrategia de protección basada
en múltiples capas de seguridad, constituidas por medidas organizativas, físicas y lógicas,
que permitan evitar en la medida de lo posible, que la información o los servicios se vean
perjudicados por incidentes de seguridad y desarrollar una adecuada reacción ante los
mismos, evitando una afectación del conjunto de activos.
e) Principio de vigilancia continua y re-evaluación periódica. Dado que los servicios
se pueden degradar rápidamente debido a incidentes que, en función de su gravedad,
pueden producir desde una simple desaceleración hasta la detención de los mismos,
se debe monitorizar la operación de los servicios de manera continua para detectar
anomalías en los niveles de prestación requeridos, actuando en consecuencia. La revisión
de alertas, eventos y logs es especialmente relevante para establecer líneas de defensa.
Para ello, se implantarán mecanismos de detección, análisis y reporte que lleguen a
las personas responsables regularmente, a efectos de detectar cuándo se produce una
desviación significativa de los parámetros de servicio marcados.
f) Principio de responsabilidad. Todas las personas que de una forma u otra participen
en la utilización, operación, administración o gestión de un sistema de información,
serán responsables de observar las normas de seguridad establecidas. Para ello las
correspondientes responsabilidades deberán quedar determinadas de forma explícita, y
ser comunicadas a cada una de ellas.
Se diferenciará el responsable de la información, el responsable del servicio, el
responsable de la seguridad y el responsable del sistema, estando diferenciada la
responsabilidad sobre la explotación de los sistemas de información respecto a la
responsabilidad de la seguridad.
g) Gestión de la seguridad en el ciclo de vida de los activos: los recursos informáticos
y la información se encontrarán inventariados, con una persona responsable asociada
y, en caso de ser necesario, una persona custodia de los mismos. Los inventarios se
mantendrán actualizados para asegurar su validez. Los activos de información estarán
clasificados de acuerdo a su sensibilidad y criticidad para el desarrollo de la actividad de
la Consejería, en función de la cual se establecerán las medidas de seguridad exigidas
para su protección, teniéndose en cuenta las especificaciones de seguridad en todas las
fases del ciclo de vida de los mismos.
