III. Otras disposiciones. MINISTERIO DE CULTURA. Seguridad informática. (BOE-A-2024-16386)
Orden CLT/832/2024, de 29 de julio, por la que se aprueba la Política de Seguridad de la Información en el ámbito de la administración electrónica del Ministerio de Cultura.
18 páginas totales
Página
Zahoribo únicamente muestra información pública que han sido publicada previamente por organismos oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
BOLETÍN OFICIAL DEL ESTADO
Miércoles 7 de agosto de 2024
Sec. III. Pág. 101837
gestión de riesgos será parte esencial del proceso de seguridad. La gestión de riesgos
permitirá el mantenimiento de un entorno controlado, minimizando los riesgos hasta
niveles aceptables. La reducción de estos niveles se realizará mediante el despliegue de
medidas de seguridad, que establecerán un equilibrio entre la naturaleza de los datos y
los tratamientos, el impacto y la probabilidad de los riesgos a los que estén expuestos y
la eficacia y el coste de las medidas de seguridad.
e) Proporcionalidad: el establecimiento de medidas de protección, detección y
recuperación deberá ser proporcional a los potenciales riesgos y a la criticidad y valor de
la información y de los servicios afectados.
f) Mejora continua: las medidas de seguridad se reevaluarán y actualizarán
periódicamente y adicionalmente siempre que se considere necesario, para adecuar su
eficacia a la constante evolución de los riesgos y sistemas de protección, llegando
incluso a un replanteamiento de la seguridad, si fuese necesario. La evaluación
permanente del estado de seguridad deberá servir para medir la evolución del sistema
de gestión de seguridad de la información, así como para detectar vulnerabilidades,
deficiencias de configuración y actividades o comportamientos anómalos, y responder de
manera oportuna.
g) Seguridad y privacidad desde el diseño y por defecto: se contemplarán los
aspectos de seguridad y privacidad de la información en todas las fases del ciclo de vida
de los sistemas de información y del tratamiento de datos, garantizando su seguridad y
privacidad desde la fase de diseño y aplicando configuraciones de seguridad y
privacidad por defecto que ofrezcan el máximo nivel de protección.
h) Prevención, reacción y recuperación: la seguridad del sistema de gestión de
Seguridad de la Información deberá contemplar los aspectos de prevención, detección y
respuesta necesarios para conseguir que las amenazas sobre el mismo no se
materialicen y no afecten gravemente a la información que maneja, o los servicios que se
prestan. Sin perjuicio de los demás principios básicos y requisitos mínimos de seguridad
establecidos, el sistema deberá garantizar la conservación de los datos e informaciones
en soporte electrónico. Se deberán aplicar medidas de detección orientadas a descubrir
la presencia de un incidente de seguridad. Asimismo, se aplicarán medidas de
respuesta, dirigidas a gestionar en tiempo oportuno, la restauración de la información y
los servicios que pudieran haberse visto afectados por un incidente de seguridad.
i) Líneas de defensa: el sistema de gestión de Seguridad de la Información deberá
contar con una estrategia de protección constituida por múltiples capas de seguridad,
dispuesta de forma que, cuando una de las capas falle, permita ganar tiempo para una
reacción adecuada frente a los incidentes, reducir la probabilidad de que el sistema sea
comprometido en su conjunto y minimizar el impacto sobre el mismo. Las líneas de
defensa han de estar constituidas por medidas de naturaleza organizativa, física y lógica.
2. Principios particulares, requisitos mínimos, responsabilidades específicas y
objetivos de seguridad.
Las directrices fundamentales de seguridad se concretan en un conjunto de
principios particulares y responsabilidades específicas, que se configuran como objetivos
instrumentales que garantizan el cumplimiento de los principios básicos de la PSI y que
inspiran las actuaciones del Departamento en dicha materia. Se establecen los
siguientes:
a) Organización e implantación del proceso de seguridad: La seguridad de los
sistemas de información deberá comprometer a todos los miembros de la organización.
En los sistemas de información se diferenciará:
1.º El responsable de la información, que determinará los requisitos de seguridad
de la información tratada.
2.º El responsable del servicio, que determinará los requisitos de seguridad de los
servicios prestados.
cve: BOE-A-2024-16386
Verificable en https://www.boe.es
Núm. 190
Miércoles 7 de agosto de 2024
Sec. III. Pág. 101837
gestión de riesgos será parte esencial del proceso de seguridad. La gestión de riesgos
permitirá el mantenimiento de un entorno controlado, minimizando los riesgos hasta
niveles aceptables. La reducción de estos niveles se realizará mediante el despliegue de
medidas de seguridad, que establecerán un equilibrio entre la naturaleza de los datos y
los tratamientos, el impacto y la probabilidad de los riesgos a los que estén expuestos y
la eficacia y el coste de las medidas de seguridad.
e) Proporcionalidad: el establecimiento de medidas de protección, detección y
recuperación deberá ser proporcional a los potenciales riesgos y a la criticidad y valor de
la información y de los servicios afectados.
f) Mejora continua: las medidas de seguridad se reevaluarán y actualizarán
periódicamente y adicionalmente siempre que se considere necesario, para adecuar su
eficacia a la constante evolución de los riesgos y sistemas de protección, llegando
incluso a un replanteamiento de la seguridad, si fuese necesario. La evaluación
permanente del estado de seguridad deberá servir para medir la evolución del sistema
de gestión de seguridad de la información, así como para detectar vulnerabilidades,
deficiencias de configuración y actividades o comportamientos anómalos, y responder de
manera oportuna.
g) Seguridad y privacidad desde el diseño y por defecto: se contemplarán los
aspectos de seguridad y privacidad de la información en todas las fases del ciclo de vida
de los sistemas de información y del tratamiento de datos, garantizando su seguridad y
privacidad desde la fase de diseño y aplicando configuraciones de seguridad y
privacidad por defecto que ofrezcan el máximo nivel de protección.
h) Prevención, reacción y recuperación: la seguridad del sistema de gestión de
Seguridad de la Información deberá contemplar los aspectos de prevención, detección y
respuesta necesarios para conseguir que las amenazas sobre el mismo no se
materialicen y no afecten gravemente a la información que maneja, o los servicios que se
prestan. Sin perjuicio de los demás principios básicos y requisitos mínimos de seguridad
establecidos, el sistema deberá garantizar la conservación de los datos e informaciones
en soporte electrónico. Se deberán aplicar medidas de detección orientadas a descubrir
la presencia de un incidente de seguridad. Asimismo, se aplicarán medidas de
respuesta, dirigidas a gestionar en tiempo oportuno, la restauración de la información y
los servicios que pudieran haberse visto afectados por un incidente de seguridad.
i) Líneas de defensa: el sistema de gestión de Seguridad de la Información deberá
contar con una estrategia de protección constituida por múltiples capas de seguridad,
dispuesta de forma que, cuando una de las capas falle, permita ganar tiempo para una
reacción adecuada frente a los incidentes, reducir la probabilidad de que el sistema sea
comprometido en su conjunto y minimizar el impacto sobre el mismo. Las líneas de
defensa han de estar constituidas por medidas de naturaleza organizativa, física y lógica.
2. Principios particulares, requisitos mínimos, responsabilidades específicas y
objetivos de seguridad.
Las directrices fundamentales de seguridad se concretan en un conjunto de
principios particulares y responsabilidades específicas, que se configuran como objetivos
instrumentales que garantizan el cumplimiento de los principios básicos de la PSI y que
inspiran las actuaciones del Departamento en dicha materia. Se establecen los
siguientes:
a) Organización e implantación del proceso de seguridad: La seguridad de los
sistemas de información deberá comprometer a todos los miembros de la organización.
En los sistemas de información se diferenciará:
1.º El responsable de la información, que determinará los requisitos de seguridad
de la información tratada.
2.º El responsable del servicio, que determinará los requisitos de seguridad de los
servicios prestados.
cve: BOE-A-2024-16386
Verificable en https://www.boe.es
Núm. 190
