III. Otras disposiciones. CORTES GENERALES. Fiscalizaciones. (BOE-A-2024-16159)
Resolución de 30 de abril de 2024, aprobada por la Comisión Mixta para las Relaciones con el Tribunal de Cuentas, en relación con el Informe de fiscalización de las medidas adoptadas en el ámbito de la Administración General del Estado para la implantación del Plan de Recuperación, Transformación y Resiliencia.
108 páginas totales
Página
Zahoribo únicamente muestra información pública que han sido publicada previamente por organismos oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
BOLETÍN OFICIAL DEL ESTADO
Núm. 188
Lunes 5 de agosto de 2024
Sec. III. Pág. 99460
Finalmente, por lo que se refiere al nivel técnico, los formatos de intercambio definidos son
compatibles con lo dispuesto en el Esquema Nacional de Interoperabilidad, aprobado por RD
4/2010, de 8 de enero, siendo habituales para trasmitir información en entorno web, aunque en el
momento de realizarse los trabajos de fiscalización, no había un intercambio de datos relevante.
II.5.2.5. ADECUACIÓN DE COFFEE-MRR AL ESQUEMA NACIONAL DE SEGURIDAD (ENS) Y
A LA PROTECCIÓN DE DATOS
La Resolución de 21 de diciembre de 2015, de la Secretaría de Estado de Presupuestos y Gastos,
regula la política de seguridad de los sistemas de información de la Secretaría de Estado de
Presupuestos y Gastos y de la Intervención General de la Administración del Estado, órgano al
que pertenece la OIP (desarrollador del sistema informático). Esta política declara quiénes serán
los responsables de realizar las tareas relacionadas con la seguridad y dispone de una
declaración de aplicabilidad general con medidas de seguridad de las recogidas en el Anexo II del
RD 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito
de la Administración Electrónica, que, por lo tanto, no están actualizadas a lo dispuesto en el RD
311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad, el cual deroga
el RD antes citado.
El sistema COFFEE-MRR, tras el oportuno análisis, se categorizó de nivel medio con respecto al
ENS.
Ha quedado constatado que existen políticas de nivel general en la IGAE para desarrollo seguro
de sistemas de información y de control de accesos, si bien no están particularizadas para
COFFEE-MRR, al no abordarse el detalle técnico de este según su tecnología y negocio.
Por otro lado, el sistema de autorización de usuarios (basado en el sistema Radix de la IGAE), se
considera adecuado.
También se ha constatado que se dispone de procedimientos detallados de gestión de incidencias
de seguridad adaptados al ENS y de un registro de incidencias anual para toda la organización
(IGAE).
En la auditoría realizada sobre el sistema COFFEE-MRR por la Autoridad de Control se señala
que la política de seguridad de los equipos, la de procedimientos operacionales y
responsabilidades y la de registro de actividad y monitorización, aunque han sido aprobadas no se
han publicado. Igualmente, se indica que los procedimientos de copias de seguridad y de gestión
de la prestación de servicios por terceros no han sido aprobados ni publicados.
Finalmente, no se han apreciado avances en lo que se refiere a la previsión de una funcionalidad
para la consulta de datos por parte de los ciudadanos.
INFORME DE FISCALIZACIÓN APROBADO POR EL PLENO DEL TRIBUNAL DE CUENTAS EL 20/12/2023
50
cve: BOE-A-2024-16159
Verificable en https://www.boe.es
Respecto a la protección de datos, se han localizado dos documentos de Registro de Actividades
y categorías de Tratamiento de datos personales de control de fondos europeos en documentos
PDF, sin indicar claramente las aplicaciones a las que se refiere, por lo que queda la duda de si
COFFEE-MRR está bajo esta cobertura y, en su caso, por cuál de las versiones encontradas. De
ello se deduce que sería recomendable que la IGAE tuviera enlaces al citado registro (o uno
propio) y que, en el catálogo de sistemas de información, se indicara expresamente qué registro
les es de aplicación.
Núm. 188
Lunes 5 de agosto de 2024
Sec. III. Pág. 99460
Finalmente, por lo que se refiere al nivel técnico, los formatos de intercambio definidos son
compatibles con lo dispuesto en el Esquema Nacional de Interoperabilidad, aprobado por RD
4/2010, de 8 de enero, siendo habituales para trasmitir información en entorno web, aunque en el
momento de realizarse los trabajos de fiscalización, no había un intercambio de datos relevante.
II.5.2.5. ADECUACIÓN DE COFFEE-MRR AL ESQUEMA NACIONAL DE SEGURIDAD (ENS) Y
A LA PROTECCIÓN DE DATOS
La Resolución de 21 de diciembre de 2015, de la Secretaría de Estado de Presupuestos y Gastos,
regula la política de seguridad de los sistemas de información de la Secretaría de Estado de
Presupuestos y Gastos y de la Intervención General de la Administración del Estado, órgano al
que pertenece la OIP (desarrollador del sistema informático). Esta política declara quiénes serán
los responsables de realizar las tareas relacionadas con la seguridad y dispone de una
declaración de aplicabilidad general con medidas de seguridad de las recogidas en el Anexo II del
RD 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito
de la Administración Electrónica, que, por lo tanto, no están actualizadas a lo dispuesto en el RD
311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad, el cual deroga
el RD antes citado.
El sistema COFFEE-MRR, tras el oportuno análisis, se categorizó de nivel medio con respecto al
ENS.
Ha quedado constatado que existen políticas de nivel general en la IGAE para desarrollo seguro
de sistemas de información y de control de accesos, si bien no están particularizadas para
COFFEE-MRR, al no abordarse el detalle técnico de este según su tecnología y negocio.
Por otro lado, el sistema de autorización de usuarios (basado en el sistema Radix de la IGAE), se
considera adecuado.
También se ha constatado que se dispone de procedimientos detallados de gestión de incidencias
de seguridad adaptados al ENS y de un registro de incidencias anual para toda la organización
(IGAE).
En la auditoría realizada sobre el sistema COFFEE-MRR por la Autoridad de Control se señala
que la política de seguridad de los equipos, la de procedimientos operacionales y
responsabilidades y la de registro de actividad y monitorización, aunque han sido aprobadas no se
han publicado. Igualmente, se indica que los procedimientos de copias de seguridad y de gestión
de la prestación de servicios por terceros no han sido aprobados ni publicados.
Finalmente, no se han apreciado avances en lo que se refiere a la previsión de una funcionalidad
para la consulta de datos por parte de los ciudadanos.
INFORME DE FISCALIZACIÓN APROBADO POR EL PLENO DEL TRIBUNAL DE CUENTAS EL 20/12/2023
50
cve: BOE-A-2024-16159
Verificable en https://www.boe.es
Respecto a la protección de datos, se han localizado dos documentos de Registro de Actividades
y categorías de Tratamiento de datos personales de control de fondos europeos en documentos
PDF, sin indicar claramente las aplicaciones a las que se refiere, por lo que queda la duda de si
COFFEE-MRR está bajo esta cobertura y, en su caso, por cuál de las versiones encontradas. De
ello se deduce que sería recomendable que la IGAE tuviera enlaces al citado registro (o uno
propio) y que, en el catálogo de sistemas de información, se indicara expresamente qué registro
les es de aplicación.
