III. Otras disposiciones. MINISTERIO DE CULTURA. Seguridad informática. (BOE-A-2024-16386)
Orden CLT/832/2024, de 29 de julio, por la que se aprueba la Política de Seguridad de la Información en el ámbito de la administración electrónica del Ministerio de Cultura.
18 páginas totales
Página
Zahoribo únicamente muestra información pública que han sido publicada previamente por organismos oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
BOLETÍN OFICIAL DEL ESTADO
Miércoles 7 de agosto de 2024
Sec. III. Pág. 101839
teniendo en cuenta la categoría del sistema, debiéndose eliminar y/o desactivar las
funciones que resulten innecesarias o inadecuadas y aplicándose las guías de buenas
prácticas de configuración segura. En todo caso, el uso habitual de los sistemas de
información deberá ser siempre sencillo y seguro, de manera que el uso inseguro de
estos requiera un acto consciente por parte de los usuarios.
h) Integridad y actualización del sistema: se requerirá de una autorización formal
previa para la actualización del sistema, incluyendo la introducción o modificación de
elementos físicos o lógicos en el inventario de activos del sistema.
i) Protección de la información almacenada y en tránsito: se aplicarán las medidas que
se estimen necesarias para garantizar la seguridad de la información en tránsito o
almacenada en cualquier soporte, debiéndose analizar previamente dicho soporte (equipos o
dispositivos portátiles o móviles, dispositivos periféricos, papel, etc.) y las comunicaciones
sobre redes abiertas, con el objeto de seleccionar las medidas más eficaces y garantizar de
este modo una adecuada protección de la información. Además, se desarrollarán y aplicarán
procedimientos que permitan alcanzar la recuperación y conservación a largo plazo, de los
documentos electrónicos producidos por los sistemas de información. A la información
almacenada en soporte no electrónico, que haya sido causa o consecuencia directa de la
información electrónica, se le aplicará las medidas que correspondan a la naturaleza del
soporte, de conformidad con el ENS y las demás normas que resulten de aplicación.
j) Prevención ante otros sistemas de información interconectados: se aplicarán
medidas de seguridad que permitan garantizar la protección del perímetro de los
sistemas de información, debiéndose reforzar las actividades de prevención, detección y
respuesta a incidentes de seguridad, principalmente, si se conectan a redes públicas, tal
y como lo contempla la legislación especial en materia de Telecomunicaciones. Además,
se deberán evaluar los riesgos derivados de la interconexión entre sistemas,
controlándose su punto de unión y aplicando las recomendaciones realizadas en las
instrucciones técnicas correspondientes.
k) Registro de la actividad y detección de código dañino: se registrarán las
actividades de los usuarios, reteniendo la información estrictamente necesaria para
monitorizar, analizar, investigar y documentar actividades indebidas o no autorizadas,
permitiendo identificar en cada momento a la persona que actúa. Estos registros se
llevarán a cabo teniendo en cuenta el derecho al honor, a la intimidad y a la propia
imagen, así como la legislación vigente en materia de protección de datos personales,
función pública o laboral, y demás legislación aplicable. Además, con el propósito de
garantizar la seguridad de la información, en caso necesario y de manera proporcional,
se podrán analizar las comunicaciones entrantes o salientes, de modo que sea posible
evitar el acceso no autorizado a las redes y sistemas de información, detener los ataques
de denegación de servicio y evitar la distribución malintencionada de código dañino y/o
de cualquier elemento que pueda afectar la seguridad de las redes y sistemas de
información. Por otra parte, al objeto de corregir o, en su caso, exigir responsabilidades,
cada usuario con acceso a los sistemas de información deberá estar identificado de
forma única, debiendo quedar trazas en dichos sistemas, en todo momento, de quién
recibe derechos de acceso, de qué tipo, y quién ha realizado una determinada actividad.
l) Gestión de los incidentes de seguridad: se implantarán los mecanismos
apropiados para la correcta identificación, notificación, registro, análisis y resolución de
los incidentes de seguridad. Se dispondrá de procedimientos de notificación y gestión de
incidentes de seguridad de acuerdo con lo previsto en la legislación vigente y en las
instrucciones técnicas de seguridad correspondientes. Estos procedimientos deberán ser
conocidos y aplicados por todo el personal. Se mantendrá un registro de los incidentes
que incluirá las medidas adoptadas para su resolución. Dichos registros se utilizarán
para realizar las acciones de mejora continua que se consideren oportunas. Se
colaborará con las entidades y autoridades de control en el reporte y cualquier acción
que se considere en cuanto a incidentes de seguridad.
m) Gestión de la continuidad: se implantarán los mecanismos apropiados para
asegurar la disponibilidad de los sistemas de información en caso de pérdida de los
cve: BOE-A-2024-16386
Verificable en https://www.boe.es
Núm. 190
Miércoles 7 de agosto de 2024
Sec. III. Pág. 101839
teniendo en cuenta la categoría del sistema, debiéndose eliminar y/o desactivar las
funciones que resulten innecesarias o inadecuadas y aplicándose las guías de buenas
prácticas de configuración segura. En todo caso, el uso habitual de los sistemas de
información deberá ser siempre sencillo y seguro, de manera que el uso inseguro de
estos requiera un acto consciente por parte de los usuarios.
h) Integridad y actualización del sistema: se requerirá de una autorización formal
previa para la actualización del sistema, incluyendo la introducción o modificación de
elementos físicos o lógicos en el inventario de activos del sistema.
i) Protección de la información almacenada y en tránsito: se aplicarán las medidas que
se estimen necesarias para garantizar la seguridad de la información en tránsito o
almacenada en cualquier soporte, debiéndose analizar previamente dicho soporte (equipos o
dispositivos portátiles o móviles, dispositivos periféricos, papel, etc.) y las comunicaciones
sobre redes abiertas, con el objeto de seleccionar las medidas más eficaces y garantizar de
este modo una adecuada protección de la información. Además, se desarrollarán y aplicarán
procedimientos que permitan alcanzar la recuperación y conservación a largo plazo, de los
documentos electrónicos producidos por los sistemas de información. A la información
almacenada en soporte no electrónico, que haya sido causa o consecuencia directa de la
información electrónica, se le aplicará las medidas que correspondan a la naturaleza del
soporte, de conformidad con el ENS y las demás normas que resulten de aplicación.
j) Prevención ante otros sistemas de información interconectados: se aplicarán
medidas de seguridad que permitan garantizar la protección del perímetro de los
sistemas de información, debiéndose reforzar las actividades de prevención, detección y
respuesta a incidentes de seguridad, principalmente, si se conectan a redes públicas, tal
y como lo contempla la legislación especial en materia de Telecomunicaciones. Además,
se deberán evaluar los riesgos derivados de la interconexión entre sistemas,
controlándose su punto de unión y aplicando las recomendaciones realizadas en las
instrucciones técnicas correspondientes.
k) Registro de la actividad y detección de código dañino: se registrarán las
actividades de los usuarios, reteniendo la información estrictamente necesaria para
monitorizar, analizar, investigar y documentar actividades indebidas o no autorizadas,
permitiendo identificar en cada momento a la persona que actúa. Estos registros se
llevarán a cabo teniendo en cuenta el derecho al honor, a la intimidad y a la propia
imagen, así como la legislación vigente en materia de protección de datos personales,
función pública o laboral, y demás legislación aplicable. Además, con el propósito de
garantizar la seguridad de la información, en caso necesario y de manera proporcional,
se podrán analizar las comunicaciones entrantes o salientes, de modo que sea posible
evitar el acceso no autorizado a las redes y sistemas de información, detener los ataques
de denegación de servicio y evitar la distribución malintencionada de código dañino y/o
de cualquier elemento que pueda afectar la seguridad de las redes y sistemas de
información. Por otra parte, al objeto de corregir o, en su caso, exigir responsabilidades,
cada usuario con acceso a los sistemas de información deberá estar identificado de
forma única, debiendo quedar trazas en dichos sistemas, en todo momento, de quién
recibe derechos de acceso, de qué tipo, y quién ha realizado una determinada actividad.
l) Gestión de los incidentes de seguridad: se implantarán los mecanismos
apropiados para la correcta identificación, notificación, registro, análisis y resolución de
los incidentes de seguridad. Se dispondrá de procedimientos de notificación y gestión de
incidentes de seguridad de acuerdo con lo previsto en la legislación vigente y en las
instrucciones técnicas de seguridad correspondientes. Estos procedimientos deberán ser
conocidos y aplicados por todo el personal. Se mantendrá un registro de los incidentes
que incluirá las medidas adoptadas para su resolución. Dichos registros se utilizarán
para realizar las acciones de mejora continua que se consideren oportunas. Se
colaborará con las entidades y autoridades de control en el reporte y cualquier acción
que se considere en cuanto a incidentes de seguridad.
m) Gestión de la continuidad: se implantarán los mecanismos apropiados para
asegurar la disponibilidad de los sistemas de información en caso de pérdida de los
cve: BOE-A-2024-16386
Verificable en https://www.boe.es
Núm. 190
