III. Otras disposiciones. CORTES GENERALES. Fiscalizaciones. (BOE-A-2021-14742)
Resolución de 15 de junio de 2021, aprobada por la Comisión Mixta para las Relaciones con el Tribunal de Cuentas, en relación con el Informe Anual de la Comunidad Autónoma de Castilla-La Mancha, ejercicio 2018.
184 páginas totales
Página
Zahoribo únicamente muestra información pública que han sido publicada previamente por organismos oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
BOLETÍN OFICIAL DEL ESTADO
Núm. 216
Jueves 9 de septiembre de 2021
Sec. III. Pág. 108909
Compete, a su vez, según el artículo 10 referido, al Responsable de Seguridad, la
actualización de la política de seguridad de la información y el desarrollo de dicha política
mediante planes, sin que se hayan acreditado actuaciones de este tipo.
De acuerdo con el artículo 13 del RD 3/2010, debe realizarse y desarrollarse un análisis y
tratamiento de los riesgos a los que está expuesto el sistema. Tras los manuales aprobados por el
Servicio de Seguridad y Protección de Datos de la Viceconsejería de Administración Local y
Coordinación Administrativa en 2017, durante el ejercicio fiscalizado, la CAESTA fijó la necesidad
de realizar análisis de riesgos por parte de los órganos gestores y se estableció una operativa al
respecto.
Hasta el mes de mayo de 2018 no se contó con un procedimiento de gestión de incidentes
de seguridad debidamente aprobado. Además, en dicho ejercicio, la CAESTA establece la forma
de actuar para notificar brechas de seguridad.
Según dispone el artículo 15 del Decreto 57/2012, la gestión de riesgos, que debe hacerse
de forma continua, es preceptiva para los sistemas de información incluidos dentro del marco
establecido por el RD 3/2010. En este sentido y como se ha señalado, la CAESTA indicó, en el
ejercicio fiscalizado, la necesidad de realizar el análisis de riesgos para todos los órganos
gestores, los cuales deben también demostrar la conformidad de los sistemas con el ENS,
llevándose a cabo los análisis relativos a los sistemas TAREA10 y GRECO11.
En el ejercicio fiscalizado, sistemas tales como TAREA y GRECO no contaban con la
declaración de aplicabilidad prevista en el artículo 27 del RD 3/2010, pues esta fue elaborada solo
para los servicios comunes de tecnologías de la información (Consejería de Fomento) de la DG de
Telecomunicaciones y Nuevas Tecnologías. Se ha informado de que, con posterioridad a dicho
ejercicio, se elaboran las declaraciones de aplicabilidad para todos los trámites o procesos
electrónicos novedosos que se dan de alta en el Registro de Actividades de Tratamiento de la
JCCM, refiriéndose algunos de ellos a TAREA y GRECO.
10
El Sistema de Información Económico-Financiero TAREA (Tratamiento Automatizado de Recursos Económicos y
Administrativos) registra todas las operaciones de naturaleza presupuestaria, económica, financiera y patrimonial que se
produzcan en su ámbito; refleja los resultados del ejercicio de la actividad y facilita la información tanto agregada como
de detalle para la toma de decisiones.
11
Sistema informático de gestión de los tributos cedidos.
cve: BOE-A-2021-14742
Verificable en https://www.boe.es
Al cierre del ejercicio 2017, la auditoría de la seguridad sobre los sistemas de información a
la que se refiere el artículo 34 del RD, donde se verificase el cumplimiento de los requerimientos
del ENS por parte de los citados sistemas, solo se había llevado a cabo sobre los servicios
comunes y el Centro de Proceso de Datos de la Consejería de Fomento, quedando fuera del
alcance la verificación completa de sistemas tales como TAREA y GRECO. No obstante, en 2018,
la CAESTA acordó iniciar la certificación de conformidad con el ENS de estos dos sistemas y
estableció que las auditorías de certificación se realizaran internamente por el Servicio de
Seguridad y Protección de Datos, al menos cada dos años.
Núm. 216
Jueves 9 de septiembre de 2021
Sec. III. Pág. 108909
Compete, a su vez, según el artículo 10 referido, al Responsable de Seguridad, la
actualización de la política de seguridad de la información y el desarrollo de dicha política
mediante planes, sin que se hayan acreditado actuaciones de este tipo.
De acuerdo con el artículo 13 del RD 3/2010, debe realizarse y desarrollarse un análisis y
tratamiento de los riesgos a los que está expuesto el sistema. Tras los manuales aprobados por el
Servicio de Seguridad y Protección de Datos de la Viceconsejería de Administración Local y
Coordinación Administrativa en 2017, durante el ejercicio fiscalizado, la CAESTA fijó la necesidad
de realizar análisis de riesgos por parte de los órganos gestores y se estableció una operativa al
respecto.
Hasta el mes de mayo de 2018 no se contó con un procedimiento de gestión de incidentes
de seguridad debidamente aprobado. Además, en dicho ejercicio, la CAESTA establece la forma
de actuar para notificar brechas de seguridad.
Según dispone el artículo 15 del Decreto 57/2012, la gestión de riesgos, que debe hacerse
de forma continua, es preceptiva para los sistemas de información incluidos dentro del marco
establecido por el RD 3/2010. En este sentido y como se ha señalado, la CAESTA indicó, en el
ejercicio fiscalizado, la necesidad de realizar el análisis de riesgos para todos los órganos
gestores, los cuales deben también demostrar la conformidad de los sistemas con el ENS,
llevándose a cabo los análisis relativos a los sistemas TAREA10 y GRECO11.
En el ejercicio fiscalizado, sistemas tales como TAREA y GRECO no contaban con la
declaración de aplicabilidad prevista en el artículo 27 del RD 3/2010, pues esta fue elaborada solo
para los servicios comunes de tecnologías de la información (Consejería de Fomento) de la DG de
Telecomunicaciones y Nuevas Tecnologías. Se ha informado de que, con posterioridad a dicho
ejercicio, se elaboran las declaraciones de aplicabilidad para todos los trámites o procesos
electrónicos novedosos que se dan de alta en el Registro de Actividades de Tratamiento de la
JCCM, refiriéndose algunos de ellos a TAREA y GRECO.
10
El Sistema de Información Económico-Financiero TAREA (Tratamiento Automatizado de Recursos Económicos y
Administrativos) registra todas las operaciones de naturaleza presupuestaria, económica, financiera y patrimonial que se
produzcan en su ámbito; refleja los resultados del ejercicio de la actividad y facilita la información tanto agregada como
de detalle para la toma de decisiones.
11
Sistema informático de gestión de los tributos cedidos.
cve: BOE-A-2021-14742
Verificable en https://www.boe.es
Al cierre del ejercicio 2017, la auditoría de la seguridad sobre los sistemas de información a
la que se refiere el artículo 34 del RD, donde se verificase el cumplimiento de los requerimientos
del ENS por parte de los citados sistemas, solo se había llevado a cabo sobre los servicios
comunes y el Centro de Proceso de Datos de la Consejería de Fomento, quedando fuera del
alcance la verificación completa de sistemas tales como TAREA y GRECO. No obstante, en 2018,
la CAESTA acordó iniciar la certificación de conformidad con el ENS de estos dos sistemas y
estableció que las auditorías de certificación se realizaran internamente por el Servicio de
Seguridad y Protección de Datos, al menos cada dos años.
