III. Otras disposiciones. MINISTERIO DE HACIENDA. Seguridad informática. (BOE-A-2024-7943)
Resolución de 27 de marzo de 2024, de la Intervención General de la Administración del Estado, por la que se regula la política de seguridad de la información de la Secretaría de Estado de Presupuestos y Gastos, de la Secretaría General de Fondos Europeos y de la Intervención General de la Administración del Estado.
11 páginas totales
Página
BOLETÍN OFICIAL DEL ESTADO
Núm. 97
Sábado 20 de abril de 2024
Sec. III. Pág. 44549
Tercer nivel normativo formado por los procedimientos, guías e instrucciones técnicas
que determinan acciones o tareas a realizar para garantizar la seguridad de la
información a lo largo del ciclo de vida de los sistemas de información de la
Administración presupuestaria.
La aprobación de estos procedimientos técnicos corresponderá a la OIP.
Adicionalmente se tendrán en cuenta los informes que recojan las conclusiones,
observaciones y recomendaciones de una auditoría, de un estudio o de una evaluación;
registros de actividad o alertas de seguridad que informen de amenazas y
vulnerabilidades que afecten a los sistemas de información, y las evidencias electrónicas
que se generan durante todas las fases del ciclo de vida de los sistemas de información
y en sus distintos procesos, pudiendo abarcar uno o más sistemas en función del
aspecto tratado.
Decimoséptimo.
Terceras partes.
En los casos en que la Administración presupuestaria preste servicios o gestione
información de otros organismos, se les hará partícipes de la PSI, y se establecerán
canales para el reporte y coordinación de los respectivos comités de seguridad así como
procedimientos de actuación para la reacción ante los ciberincidentes de seguridad.
En los casos en que la Administración presupuestaria utilice servicios de terceros o
les ceda información, les hará partícipes de esta PSI y de la normativa de seguridad que
afecte a dichos servicios o información. Los terceros quedarán sujetos a las obligaciones
establecidas en dicha normativa, pudiendo desarrollar sus propios procedimientos
operativos para cumplirla. Además, se establecerán procedimientos específicos de
reporte y resolución de incidencias y se garantizará que el personal de la tercera parte
esté adecuadamente concienciado en materia de seguridad, al menos al mismo nivel
que el establecido en esta política.
Cuando algún aspecto de la política no pueda ser abordado por una tercera parte
según se establece en los párrafos anteriores, se requerirá un informe del responsable
de seguridad de la información que precise los riesgos en que se incurre y la forma de
tratarlos. Se requerirá la aprobación de este informe por los responsables de la
información y los servicios afectados antes de seguir adelante.
Decimoctavo.
Compromiso de la Dirección.
1. Los órganos directivos de la Administración presupuestaria se comprometen a
proteger la disponibilidad, integridad, confidencialidad y autenticidad de la información
utilizada en la organización, así como sus canales de transmisión y/o comunicación,
implantando para ello las medidas organizativas y técnicas necesarias y estableciendo
responsabilidades sobre el acceso y utilización de la información.
2. Se debe prestar la máxima atención a la concienciación de las personas que
intervienen en la seguridad y a sus responsables jerárquicos para evitar fuentes de
riesgo para la seguridad. Es por ello que la presente resolución y sus normas de
desarrollo estarán accesibles y tratarán de ser comprensibles para todas las personas
pertenecientes o no a la Administración presupuestaria.
Derogación.
A la entrada en vigor de la presente resolución quedará derogada la Resolución
de 21 de diciembre de 2015, de la Secretaría de Estado de Presupuestos y Gastos, por
la que se regula la política de seguridad de los sistemas de información de la Secretaría
de Estado de Presupuestos y Gastos y de la Intervención General de la Administración
del Estado, así como todos aquellos procedimientos e instrucciones de rango inferior que
contradigan o se opongan a lo dispuesto en la presente resolución.
cve: BOE-A-2024-7943
Verificable en https://www.boe.es
Decimonoveno.
Núm. 97
Sábado 20 de abril de 2024
Sec. III. Pág. 44549
Tercer nivel normativo formado por los procedimientos, guías e instrucciones técnicas
que determinan acciones o tareas a realizar para garantizar la seguridad de la
información a lo largo del ciclo de vida de los sistemas de información de la
Administración presupuestaria.
La aprobación de estos procedimientos técnicos corresponderá a la OIP.
Adicionalmente se tendrán en cuenta los informes que recojan las conclusiones,
observaciones y recomendaciones de una auditoría, de un estudio o de una evaluación;
registros de actividad o alertas de seguridad que informen de amenazas y
vulnerabilidades que afecten a los sistemas de información, y las evidencias electrónicas
que se generan durante todas las fases del ciclo de vida de los sistemas de información
y en sus distintos procesos, pudiendo abarcar uno o más sistemas en función del
aspecto tratado.
Decimoséptimo.
Terceras partes.
En los casos en que la Administración presupuestaria preste servicios o gestione
información de otros organismos, se les hará partícipes de la PSI, y se establecerán
canales para el reporte y coordinación de los respectivos comités de seguridad así como
procedimientos de actuación para la reacción ante los ciberincidentes de seguridad.
En los casos en que la Administración presupuestaria utilice servicios de terceros o
les ceda información, les hará partícipes de esta PSI y de la normativa de seguridad que
afecte a dichos servicios o información. Los terceros quedarán sujetos a las obligaciones
establecidas en dicha normativa, pudiendo desarrollar sus propios procedimientos
operativos para cumplirla. Además, se establecerán procedimientos específicos de
reporte y resolución de incidencias y se garantizará que el personal de la tercera parte
esté adecuadamente concienciado en materia de seguridad, al menos al mismo nivel
que el establecido en esta política.
Cuando algún aspecto de la política no pueda ser abordado por una tercera parte
según se establece en los párrafos anteriores, se requerirá un informe del responsable
de seguridad de la información que precise los riesgos en que se incurre y la forma de
tratarlos. Se requerirá la aprobación de este informe por los responsables de la
información y los servicios afectados antes de seguir adelante.
Decimoctavo.
Compromiso de la Dirección.
1. Los órganos directivos de la Administración presupuestaria se comprometen a
proteger la disponibilidad, integridad, confidencialidad y autenticidad de la información
utilizada en la organización, así como sus canales de transmisión y/o comunicación,
implantando para ello las medidas organizativas y técnicas necesarias y estableciendo
responsabilidades sobre el acceso y utilización de la información.
2. Se debe prestar la máxima atención a la concienciación de las personas que
intervienen en la seguridad y a sus responsables jerárquicos para evitar fuentes de
riesgo para la seguridad. Es por ello que la presente resolución y sus normas de
desarrollo estarán accesibles y tratarán de ser comprensibles para todas las personas
pertenecientes o no a la Administración presupuestaria.
Derogación.
A la entrada en vigor de la presente resolución quedará derogada la Resolución
de 21 de diciembre de 2015, de la Secretaría de Estado de Presupuestos y Gastos, por
la que se regula la política de seguridad de los sistemas de información de la Secretaría
de Estado de Presupuestos y Gastos y de la Intervención General de la Administración
del Estado, así como todos aquellos procedimientos e instrucciones de rango inferior que
contradigan o se opongan a lo dispuesto en la presente resolución.
cve: BOE-A-2024-7943
Verificable en https://www.boe.es
Decimonoveno.
