III. Otras disposiciones. MINISTERIO DE CULTURA. Seguridad informática. (BOE-A-2024-16386)
Orden CLT/832/2024, de 29 de julio, por la que se aprueba la Política de Seguridad de la Información en el ámbito de la administración electrónica del Ministerio de Cultura.
18 páginas totales
Página
Zahoribo únicamente muestra información pública que han sido publicada previamente por organismos oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
BOLETÍN OFICIAL DEL ESTADO
Miércoles 7 de agosto de 2024
Sec. III. Pág. 101838
3.º El responsable del sistema, que se encargará de desarrollar la forma concreta
de implementar la seguridad en el sistema y de la supervisión de la operación diaria del
mismo.
4.º El responsable de seguridad, que determinará las decisiones para satisfacer los
requisitos de seguridad de la información y de los servicios, supervisará la implantación
de las medidas necesarias para garantizar que se satisfacen los requisitos y reportará
sobre estas cuestiones.
El responsable de la seguridad será preferiblemente distinto del responsable del
sistema, y no existirá dependencia jerárquica entre ambos. En caso de existir
justificadamente dependencia jerárquica entre ellos debido a la estructura de la
organización, se aplicarán medidas compensatorias para garantizar la imparcialidad en
sus actuaciones.
b) Gestión de personal: se implantarán los mecanismos necesarios para que
cualquier persona con acceso a los sistemas de información del Ministerio, reciba
formación e información acerca de sus deberes, obligaciones y responsabilidades en
materia de seguridad de la información. El Ministerio se reserva el derecho de supervisar
las actividades de los usuarios para verificar el cumplimiento tanto de la presente política
como de la normativa y procedimientos de seguridad que la desarrollen. La
monitorización de las actividades de los usuarios se realizará conforme a lo establecido
por la legislación vigente que resulte de aplicación, así como por las normas,
procedimientos e instrucciones técnicas desarrolladas por la organización.
c) Profesionalidad: la seguridad de la información será atendida, revisada y
auditada por personal cualificado, diferenciado, dedicado e instruido en todas las fases
del ciclo de vida de los sistemas de información. Dicho personal deberá cumplir con los
requisitos de formación y experiencia exigidos por la organización para el desarrollo de
los puestos de trabajo.
d) Autorización y control de acceso: se limitará el acceso a los activos de
información por parte de usuarios, procesos y otros sistemas de información
debidamente autorizados, y exclusivamente a las funciones permitidas. Para ello se
implantarán mecanismos de identificación, autenticación y autorización acordes a la
criticidad de cada activo. Además, quedará registrada la utilización del sistema con
objeto de asegurar la trazabilidad del acceso y auditar su uso adecuado, conforme a la
actividad de la organización.
e) Protección de las instalaciones: los activos de información serán emplazados en
áreas seguras y protegidas por controles de acceso físicos adecuados a su nivel de
criticidad y proporcionales en función de los análisis de riesgos, sin perjuicio de los
requisitos de seguridad exigidos por la legislación vigente en lo que respecta a la protección
de las infraestructuras críticas. Los sistemas y los activos de información que contienen
dichas áreas estarán suficientemente protegidos frente a amenazas físicas o ambientales.
f) Adquisición de productos de seguridad y contratación de servicios de seguridad:
la selección de los productos y la contratación de los servicios de seguridad se deberá
realizar teniendo en cuenta la categoría del sistema y el nivel de seguridad determinado,
así como lo dispuesto por el principio de profesionalidad anteriormente indicado. Se
deberán seleccionar aquellos productos y servicios que tengan certificada la
funcionalidad de seguridad relacionada con el objeto de su adquisición, o bien, aquellos
que cumplan con el criterio determinado por el Centro Criptológico Nacional, en caso de
que no existan productos o servicios certificados.
g) Mínimo privilegio: los sistemas de información se diseñarán y configurarán
aplicando los mínimos privilegios necesarios para su óptimo desempeño. Los sistemas
proporcionarán las funcionalidades imprescindibles para que la organización pueda
alcanzar sus objetivos competenciales o contractuales. Por tanto, las funciones de
operación, administración y registro de actividad serán las mínimas necesarias y serán
ejecutadas únicamente por el personal autorizado y empleando los medios o recursos
habilitados para ello, pudiéndose exigir restricciones de horario y puntos de acceso
facultados. La configuración de seguridad para las distintas tecnologías se aplicará
cve: BOE-A-2024-16386
Verificable en https://www.boe.es
Núm. 190
Miércoles 7 de agosto de 2024
Sec. III. Pág. 101838
3.º El responsable del sistema, que se encargará de desarrollar la forma concreta
de implementar la seguridad en el sistema y de la supervisión de la operación diaria del
mismo.
4.º El responsable de seguridad, que determinará las decisiones para satisfacer los
requisitos de seguridad de la información y de los servicios, supervisará la implantación
de las medidas necesarias para garantizar que se satisfacen los requisitos y reportará
sobre estas cuestiones.
El responsable de la seguridad será preferiblemente distinto del responsable del
sistema, y no existirá dependencia jerárquica entre ambos. En caso de existir
justificadamente dependencia jerárquica entre ellos debido a la estructura de la
organización, se aplicarán medidas compensatorias para garantizar la imparcialidad en
sus actuaciones.
b) Gestión de personal: se implantarán los mecanismos necesarios para que
cualquier persona con acceso a los sistemas de información del Ministerio, reciba
formación e información acerca de sus deberes, obligaciones y responsabilidades en
materia de seguridad de la información. El Ministerio se reserva el derecho de supervisar
las actividades de los usuarios para verificar el cumplimiento tanto de la presente política
como de la normativa y procedimientos de seguridad que la desarrollen. La
monitorización de las actividades de los usuarios se realizará conforme a lo establecido
por la legislación vigente que resulte de aplicación, así como por las normas,
procedimientos e instrucciones técnicas desarrolladas por la organización.
c) Profesionalidad: la seguridad de la información será atendida, revisada y
auditada por personal cualificado, diferenciado, dedicado e instruido en todas las fases
del ciclo de vida de los sistemas de información. Dicho personal deberá cumplir con los
requisitos de formación y experiencia exigidos por la organización para el desarrollo de
los puestos de trabajo.
d) Autorización y control de acceso: se limitará el acceso a los activos de
información por parte de usuarios, procesos y otros sistemas de información
debidamente autorizados, y exclusivamente a las funciones permitidas. Para ello se
implantarán mecanismos de identificación, autenticación y autorización acordes a la
criticidad de cada activo. Además, quedará registrada la utilización del sistema con
objeto de asegurar la trazabilidad del acceso y auditar su uso adecuado, conforme a la
actividad de la organización.
e) Protección de las instalaciones: los activos de información serán emplazados en
áreas seguras y protegidas por controles de acceso físicos adecuados a su nivel de
criticidad y proporcionales en función de los análisis de riesgos, sin perjuicio de los
requisitos de seguridad exigidos por la legislación vigente en lo que respecta a la protección
de las infraestructuras críticas. Los sistemas y los activos de información que contienen
dichas áreas estarán suficientemente protegidos frente a amenazas físicas o ambientales.
f) Adquisición de productos de seguridad y contratación de servicios de seguridad:
la selección de los productos y la contratación de los servicios de seguridad se deberá
realizar teniendo en cuenta la categoría del sistema y el nivel de seguridad determinado,
así como lo dispuesto por el principio de profesionalidad anteriormente indicado. Se
deberán seleccionar aquellos productos y servicios que tengan certificada la
funcionalidad de seguridad relacionada con el objeto de su adquisición, o bien, aquellos
que cumplan con el criterio determinado por el Centro Criptológico Nacional, en caso de
que no existan productos o servicios certificados.
g) Mínimo privilegio: los sistemas de información se diseñarán y configurarán
aplicando los mínimos privilegios necesarios para su óptimo desempeño. Los sistemas
proporcionarán las funcionalidades imprescindibles para que la organización pueda
alcanzar sus objetivos competenciales o contractuales. Por tanto, las funciones de
operación, administración y registro de actividad serán las mínimas necesarias y serán
ejecutadas únicamente por el personal autorizado y empleando los medios o recursos
habilitados para ello, pudiéndose exigir restricciones de horario y puntos de acceso
facultados. La configuración de seguridad para las distintas tecnologías se aplicará
cve: BOE-A-2024-16386
Verificable en https://www.boe.es
Núm. 190
