Las Rozas de Madrid (BOCM-20240223-52)
Organización y funcionamiento. Documento política seguridad
10 páginas totales
Página
BOCM
B.O.C.M. Núm. 46
BOLETÍN OFICIAL DE LA COMUNIDAD DE MADRID
VIERNES 23 DE FEBRERO DE 2024
Pág. 159
— Resolución de 13 de abril de 2018, de la Secretaría de Estado de Función Pública,
por la que se aprueba la Instrucción Técnica de Seguridad de Notificación de Incidentes de Seguridad.
— Toda aquella normativa en vigor que regule la administración electrónica a nivel
municipal.
El Ayuntamiento mantendrá un registro con el marco normativo aplicable al ayuntamiento, incluyendo las instrucciones técnicas de seguridad de obligado cumplimiento tal
y como se contempla en el Esquema Nacional de Seguridad, siendo el Comité de Seguridad de la Información el encargado del mantenimiento del precitado registro.
Asimismo, el Comité de Seguridad de la Información también será responsable de
identificar las guías de seguridad del CCN, que serán de aplicación para mejorar el cumplimiento de lo establecido en el Esquema Nacional de Seguridad.
El Ayuntamiento de Las Rozas, para lograr el cumplimiento del Real Decreto por el
que se regula el Esquema Nacional de Seguridad, que recoge los principios básicos y de los
requisitos mínimos, ha implementado diversas medidas de seguridad proporcionales a la
naturaleza de la información y los servicios a proteger y teniendo en cuenta la categoría de
los sistemas afectados.
5.1. La seguridad como un proceso integral y mínimo privilegio:
La seguridad se entiende como un proceso integral constituido por todos los elementos técnicos, humanos, materiales, jurídicos y organizativos, relacionados con el sistema.
La aplicación del Esquema Nacional de Seguridad al Ayuntamiento de Las Rozas, estará
presidida por este principio, que excluye cualquier actuación puntual o tratamiento coyuntural. Se prestará la máxima atención a la concienciación de las personas que intervienen en
el proceso y a sus responsables jerárquicos, para evitar que, la ignorancia, la falta de organización y coordinación, o de instrucciones inadecuadas, constituyan fuentes de riesgo para
la seguridad.
Los sistemas de información deben diseñarse y configurarse otorgando los mínimos
privilegios necesarios para su correcto desempeño, lo que implica incorporar los siguientes
aspectos:
a) El sistema proporcionará la funcionalidad imprescindible para que la organización
alcance sus objetivos competenciales o contractuales.
b) Las funciones de operación, administración y registro de actividad serán las mínimas necesarias, y se asegurará que sólo son desarrolladas por las personas autorizadas, desde emplazamientos o equipos asimismo autorizados; pudiendo exigirse,
en su caso, restricciones de horario y puntos de acceso facultados.
c) En un sistema de explotación se eliminarán o desactivarán, mediante el control de
la configuración, las funciones que sean innecesarias o inadecuadas al fin que se
persigue. El uso ordinario del sistema ha de ser sencillo y seguro, de forma que
una utilización insegura requiera de un acto consciente por parte del usuario.
d) Se aplicarán guías de configuración de seguridad para las diferentes tecnologías,
adaptadas a la categorización del sistema, al efecto de eliminar o desactivar las
funciones que sean innecesarias o inadecuadas.
5.2. Vigilancia continua, reevaluación periódica e Integridad, actualización del sistema y mejora continua del proceso de seguridad:
La vigilancia continua por parte del Ayuntamiento de Las Rozas permitirá la detección
de actividades o comportamientos anómalos y su oportuna respuesta.
La evaluación permanente del estado de la seguridad de los activos permitirá medir su
evolución, detectando vulnerabilidades e identificando deficiencias de configuración.
Las medidas de seguridad se reevaluarán y actualizarán periódicamente, adecuando su
eficacia a la evolución de los riesgos y los sistemas de protección, pudiendo llegar a un replanteamiento de la seguridad, si fuese necesario.
La inclusión de cualquier elemento físico o lógico en el catálogo actualizado de activos del sistema, o su modificación, requerirá autorización formal previa.
La evaluación y monitorización permanentes permitirán adecuar el estado de seguridad de los sistemas atendiendo a las deficiencias de configuración, las vulnerabilidades
identificadas y las actualizaciones que les afecten, así como la detección temprana de cualquier incidente que tenga lugar sobre los mismos.
BOCM-20240223-52
5. Cumplimiento de los requisitos mínimos de seguridad
B.O.C.M. Núm. 46
BOLETÍN OFICIAL DE LA COMUNIDAD DE MADRID
VIERNES 23 DE FEBRERO DE 2024
Pág. 159
— Resolución de 13 de abril de 2018, de la Secretaría de Estado de Función Pública,
por la que se aprueba la Instrucción Técnica de Seguridad de Notificación de Incidentes de Seguridad.
— Toda aquella normativa en vigor que regule la administración electrónica a nivel
municipal.
El Ayuntamiento mantendrá un registro con el marco normativo aplicable al ayuntamiento, incluyendo las instrucciones técnicas de seguridad de obligado cumplimiento tal
y como se contempla en el Esquema Nacional de Seguridad, siendo el Comité de Seguridad de la Información el encargado del mantenimiento del precitado registro.
Asimismo, el Comité de Seguridad de la Información también será responsable de
identificar las guías de seguridad del CCN, que serán de aplicación para mejorar el cumplimiento de lo establecido en el Esquema Nacional de Seguridad.
El Ayuntamiento de Las Rozas, para lograr el cumplimiento del Real Decreto por el
que se regula el Esquema Nacional de Seguridad, que recoge los principios básicos y de los
requisitos mínimos, ha implementado diversas medidas de seguridad proporcionales a la
naturaleza de la información y los servicios a proteger y teniendo en cuenta la categoría de
los sistemas afectados.
5.1. La seguridad como un proceso integral y mínimo privilegio:
La seguridad se entiende como un proceso integral constituido por todos los elementos técnicos, humanos, materiales, jurídicos y organizativos, relacionados con el sistema.
La aplicación del Esquema Nacional de Seguridad al Ayuntamiento de Las Rozas, estará
presidida por este principio, que excluye cualquier actuación puntual o tratamiento coyuntural. Se prestará la máxima atención a la concienciación de las personas que intervienen en
el proceso y a sus responsables jerárquicos, para evitar que, la ignorancia, la falta de organización y coordinación, o de instrucciones inadecuadas, constituyan fuentes de riesgo para
la seguridad.
Los sistemas de información deben diseñarse y configurarse otorgando los mínimos
privilegios necesarios para su correcto desempeño, lo que implica incorporar los siguientes
aspectos:
a) El sistema proporcionará la funcionalidad imprescindible para que la organización
alcance sus objetivos competenciales o contractuales.
b) Las funciones de operación, administración y registro de actividad serán las mínimas necesarias, y se asegurará que sólo son desarrolladas por las personas autorizadas, desde emplazamientos o equipos asimismo autorizados; pudiendo exigirse,
en su caso, restricciones de horario y puntos de acceso facultados.
c) En un sistema de explotación se eliminarán o desactivarán, mediante el control de
la configuración, las funciones que sean innecesarias o inadecuadas al fin que se
persigue. El uso ordinario del sistema ha de ser sencillo y seguro, de forma que
una utilización insegura requiera de un acto consciente por parte del usuario.
d) Se aplicarán guías de configuración de seguridad para las diferentes tecnologías,
adaptadas a la categorización del sistema, al efecto de eliminar o desactivar las
funciones que sean innecesarias o inadecuadas.
5.2. Vigilancia continua, reevaluación periódica e Integridad, actualización del sistema y mejora continua del proceso de seguridad:
La vigilancia continua por parte del Ayuntamiento de Las Rozas permitirá la detección
de actividades o comportamientos anómalos y su oportuna respuesta.
La evaluación permanente del estado de la seguridad de los activos permitirá medir su
evolución, detectando vulnerabilidades e identificando deficiencias de configuración.
Las medidas de seguridad se reevaluarán y actualizarán periódicamente, adecuando su
eficacia a la evolución de los riesgos y los sistemas de protección, pudiendo llegar a un replanteamiento de la seguridad, si fuese necesario.
La inclusión de cualquier elemento físico o lógico en el catálogo actualizado de activos del sistema, o su modificación, requerirá autorización formal previa.
La evaluación y monitorización permanentes permitirán adecuar el estado de seguridad de los sistemas atendiendo a las deficiencias de configuración, las vulnerabilidades
identificadas y las actualizaciones que les afecten, así como la detección temprana de cualquier incidente que tenga lugar sobre los mismos.
BOCM-20240223-52
5. Cumplimiento de los requisitos mínimos de seguridad
