III. Otras disposiciones. MINISTERIO DE ASUNTOS ECONÓMICOS Y TRANSFORMACIÓN DIGITAL. Seguridad informática. (BOE-A-2023-8109)
Orden ETD/305/2023, de 16 de marzo, por la que se aprueba la política de seguridad de la información del Ministerio de Asuntos Económicos y Transformación Digital.
16 páginas totales
Página
Zahoribo únicamente muestra información pública que han sido publicada previamente por organismos oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
BOLETÍN OFICIAL DEL ESTADO
Jueves 30 de marzo de 2023
Sec. III. Pág. 46415
garantizan el cumplimiento de los principios básicos de la PSI y que inspiran las
actuaciones del Departamento en dicha materia. Se establecen los siguientes principios
particulares y responsabilidades específicas:
a) Protección de datos de carácter personal: se adoptarán las medidas técnicas y
organizativas destinadas a garantizar el nivel de seguridad exigido por la normativa
vigente en relación con el tratamiento de los datos de carácter personal.
b) Gestión de activos de información: Los activos de información del Departamento
se encontrarán inventariados y categorizados y estarán asociados a un responsable.
c) Seguridad ligada a las personas: se implantarán los mecanismos necesarios
para que cualquier persona que acceda, o pueda acceder a los activos de información,
conozca sus responsabilidades y de este modo se reduzca el riesgo derivado de un uso
indebido de dichos activos.
d) Seguridad física: Los activos de información serán emplazados en áreas
seguras, protegidas por controles de acceso físicos adecuados a su nivel de criticidad.
Los sistemas y los activos de información que contienen dichas áreas estarán
suficientemente protegidos frente a amenazas físicas o ambientales.
e) Seguridad en la gestión de comunicaciones y operaciones: se establecerán los
procedimientos necesarios para lograr una adecuada gestión de la seguridad, operación
y actualización de las Tecnologías de la Información y Comunicaciones. La información
que se transmita a través de redes de comunicaciones deberá ser adecuadamente
protegida, teniendo en cuenta su nivel de sensibilidad y de criticidad, mediante
mecanismos que garanticen su seguridad. Para proteger las redes del Departamento, se
analizará el tráfico cifrado de usuarios de forma automatizada. Se realizará la excepción
en este análisis de las categorías de navegación relacionadas con datos sensibles
especialmente protegidos de acuerdo con la normativa de protección de datos vigente,
siempre que sea posible la discriminación.
f) Control de acceso: se limitará el acceso a los activos de información por parte de
usuarios, procesos y otros sistemas de información mediante la implantación de los
mecanismos de identificación, autenticación y autorización acordes a la criticidad de
cada activo. Además, quedará registrada la utilización del sistema con objeto de
asegurar la trazabilidad del acceso y auditar su uso adecuado, conforme a la actividad
de la organización.
g) Adquisición, desarrollo y mantenimiento de los sistemas de información: se
contemplarán los aspectos de seguridad de la información en todas las fases del ciclo de
vida de los sistemas de información, garantizando su seguridad por defecto.
h) Gestión de los incidentes de seguridad: se implantarán los mecanismos
apropiados para la correcta identificación, registro y resolución de los incidentes de
seguridad.
i) Gestión de la continuidad: se implantarán los mecanismos apropiados para
asegurar la disponibilidad de los sistemas de información y mantener la continuidad de
sus procesos de negocio, de acuerdo a las necesidades de nivel de servicio de sus
usuarios.
j) Cumplimiento: se adoptarán las medidas técnicas, organizativas y
procedimentales necesarias para el cumplimiento de la normativa legal vigente en
materia de seguridad de la información.
3. Sin perjuicio de lo establecido en los apartados 1 y 2, la presente PSI se
establecerá en base a los principios básicos y se desarrollará aplicando los requisitos
mínimos contemplados en el capítulo II y en el artículo 12.6 del Real Decreto 311/2022,
de 3 de mayo.
4. Estos principios básicos, en su continuo fortalecimiento y revisión, se ajustarán
en todo caso a las instrucciones técnicas de seguridad que publique la Secretaría de
Estado de Digitalización de Inteligencia Artificial del Ministerio de Asuntos Económicos y
Transformación Digital, así como a las guías CCN-STIC (publicaciones que el Centro
Criptológico Nacional, tiene como cuerpo de guías de Seguridad de Tecnologías de la
cve: BOE-A-2023-8109
Verificable en https://www.boe.es
Núm. 76
Jueves 30 de marzo de 2023
Sec. III. Pág. 46415
garantizan el cumplimiento de los principios básicos de la PSI y que inspiran las
actuaciones del Departamento en dicha materia. Se establecen los siguientes principios
particulares y responsabilidades específicas:
a) Protección de datos de carácter personal: se adoptarán las medidas técnicas y
organizativas destinadas a garantizar el nivel de seguridad exigido por la normativa
vigente en relación con el tratamiento de los datos de carácter personal.
b) Gestión de activos de información: Los activos de información del Departamento
se encontrarán inventariados y categorizados y estarán asociados a un responsable.
c) Seguridad ligada a las personas: se implantarán los mecanismos necesarios
para que cualquier persona que acceda, o pueda acceder a los activos de información,
conozca sus responsabilidades y de este modo se reduzca el riesgo derivado de un uso
indebido de dichos activos.
d) Seguridad física: Los activos de información serán emplazados en áreas
seguras, protegidas por controles de acceso físicos adecuados a su nivel de criticidad.
Los sistemas y los activos de información que contienen dichas áreas estarán
suficientemente protegidos frente a amenazas físicas o ambientales.
e) Seguridad en la gestión de comunicaciones y operaciones: se establecerán los
procedimientos necesarios para lograr una adecuada gestión de la seguridad, operación
y actualización de las Tecnologías de la Información y Comunicaciones. La información
que se transmita a través de redes de comunicaciones deberá ser adecuadamente
protegida, teniendo en cuenta su nivel de sensibilidad y de criticidad, mediante
mecanismos que garanticen su seguridad. Para proteger las redes del Departamento, se
analizará el tráfico cifrado de usuarios de forma automatizada. Se realizará la excepción
en este análisis de las categorías de navegación relacionadas con datos sensibles
especialmente protegidos de acuerdo con la normativa de protección de datos vigente,
siempre que sea posible la discriminación.
f) Control de acceso: se limitará el acceso a los activos de información por parte de
usuarios, procesos y otros sistemas de información mediante la implantación de los
mecanismos de identificación, autenticación y autorización acordes a la criticidad de
cada activo. Además, quedará registrada la utilización del sistema con objeto de
asegurar la trazabilidad del acceso y auditar su uso adecuado, conforme a la actividad
de la organización.
g) Adquisición, desarrollo y mantenimiento de los sistemas de información: se
contemplarán los aspectos de seguridad de la información en todas las fases del ciclo de
vida de los sistemas de información, garantizando su seguridad por defecto.
h) Gestión de los incidentes de seguridad: se implantarán los mecanismos
apropiados para la correcta identificación, registro y resolución de los incidentes de
seguridad.
i) Gestión de la continuidad: se implantarán los mecanismos apropiados para
asegurar la disponibilidad de los sistemas de información y mantener la continuidad de
sus procesos de negocio, de acuerdo a las necesidades de nivel de servicio de sus
usuarios.
j) Cumplimiento: se adoptarán las medidas técnicas, organizativas y
procedimentales necesarias para el cumplimiento de la normativa legal vigente en
materia de seguridad de la información.
3. Sin perjuicio de lo establecido en los apartados 1 y 2, la presente PSI se
establecerá en base a los principios básicos y se desarrollará aplicando los requisitos
mínimos contemplados en el capítulo II y en el artículo 12.6 del Real Decreto 311/2022,
de 3 de mayo.
4. Estos principios básicos, en su continuo fortalecimiento y revisión, se ajustarán
en todo caso a las instrucciones técnicas de seguridad que publique la Secretaría de
Estado de Digitalización de Inteligencia Artificial del Ministerio de Asuntos Económicos y
Transformación Digital, así como a las guías CCN-STIC (publicaciones que el Centro
Criptológico Nacional, tiene como cuerpo de guías de Seguridad de Tecnologías de la
cve: BOE-A-2023-8109
Verificable en https://www.boe.es
Núm. 76
