Gobierno de Canarias

Comunidad Autónoma de Canarias

Boletín Oficial de Canarias

Estás en:

BOC Nº 008. Miércoles 12 de enero de 2022 - 126

ATENCION. La versión HTML de este documento no es oficial. Para obtener una versión oficial, debe descargar el archivo en formato PDF.

I. Disposiciones generales - Consejería de Hacienda, Presupuestos y Asuntos Europeos

126 Agencia Tributaria Canaria.- Resolución de 22 de diciembre de 2021, del Presidente, por la que se aprueba la Política de Seguridad de la Información de la Agencia Tributaria Canaria y se crea el Comité de Seguridad de la Información.

17 páginas. Formato de archivo en PDF/Adobe Acrobat. Tamaño: 252.92 Kb.
BOC-A-2022-008-126. Firma electrónica - Descargar

La implantación de las Tecnologías de la Información y de las Comunicaciones (TIC) y su continua evolución ha facilitado el avance y la mejora de la calidad de los servicios ofrecidos al ciudadano. Refuerza los principios de eficacia y eficiencia, ahorrando costes a ciudadanos y empresas, contribuyendo a la mejora continua de los resultados y del valor entregado a la sociedad en cumplimiento de los objetivos de la Agencia Tributaria Canaria.

Los sistemas TIC deben estar protegidos de manera integral contra las diferentes amenazas a las que están sometidos. El objetivo de la seguridad de la información es garantizar la calidad de la información y prestación continuada de los servicios, actuando preventivamente, supervisando la actividad diaria y reaccionando con diligencia a los incidentes que se pudieran producir.

El Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad (ENS) en el ámbito de la Administración Electrónica establece los principios básicos y requisitos mínimos requeridos para una protección adecuada de la información. Será aplicado por las Administraciones Públicas para asegurar el acceso, integridad, disponibilidad, autenticidad, confidencialidad, trazabilidad y conservación de los datos, informaciones y servicios utilizados en medios electrónicos que gestionen en el ejercicio de sus competencias.

En el artículo 11 del citado Real Decreto se establece que todos los órganos superiores de las Administraciones Públicas deberán disponer formalmente de su política de seguridad que articule la gestión continuada de la seguridad, que será aprobada por el titular del órgano superior correspondiente.

Por su parte, el artículo 5 del Estatuto de la Agencia Tributaria Canaria, aprobado por Decreto 125/2014, de 18 de diciembre, establece los principios y estrategias de actuación y organización de la Agencia. Entre las líneas estratégicas, el citado artículo 5 establece que se ha de prestar especial atención a la eficiencia y responsabilidad en la gestión de la información con trascendencia tributaria, dotándose la Agencia de la infraestructura tecnológica y de los procedimientos que garanticen la seguridad y confidencialidad de los datos.

A la vista de lo dispuesto en la Orden de 31 de julio de 2013, por la que se establece el marco común y las directrices básicas de la política de seguridad de la información en el ámbito de la Administración Electrónica de la Administración Pública de la Comunidad Autónoma de Canarias.

Conforme a lo dispuesto en el artículo 2.2 de dicha Orden, en relación con el
artículo 13.2 del Estatuto de la Agencia Tributaria Canaria, aprobado por Decreto 125/2014, de 18 de diciembre, que establece a la Presidencia como órgano de la Agencia al que corresponde ejercer la dirección estratégica de la misma, entendida como el establecimiento de las estrategias necesarias para alcanzar su objeto, en conexión con el Plan de Acción Anual.

A la vista de lo expuesto,

RESUELVO:

Primero.- Aprobar la Política de Seguridad de la Información de la Agencia Tributaria Canaria que se incorpora como Anexo I de la presente Resolución.

Segundo.- Crear el Comité de Seguridad de la Información como órgano colegiado adscrito a la Dirección de la Agencia Tributaria Canaria, conforme a lo establecido en el Anexo II.

Tercero.- La aplicación de las previsiones contenidas en esta Resolución no supondrá incremento del gasto público. Por tanto, los órganos y entidades afectadas deberán desarrollar las medidas derivadas de su cumplimiento ateniéndose a sus disponibilidades presupuestarias ordinarias, no dando lugar, en ningún caso, a planteamientos de necesidades adicionales de financiación.

Cuarto.- La presente Resolución entrará en vigor el día siguiente al de su publicación en el Boletín Oficial de Canarias.

Las Palmas de Gran Canaria, a 22 de diciembre de 2021.- El Presidente, Román Rodríguez Rodríguez.

ANEXO I

Objeto y ámbito de aplicación.

1. La presente Resolución tiene por objeto establecer la Política de Seguridad de la Información, en adelante, PSI, de la Agencia Tributaria Canaria en el ámbito de la Administración Electrónica.

2. La PSI será de aplicación a todos los sistemas de información y a todas las actividades de tratamiento de datos personales de los que sean responsables los distintos órganos de la Agencia Tributaria Canaria.

3. La PSI será de obligado cumplimiento para todas las dependencias y servicios de la Agencia Tributaria Canaria, así como para todo su personal con acceso a la información de la que sean responsable.

4. Asimismo, será aplicable a aquellas personas que, no perteneciendo a su organización, tengan acceso a sus sistemas de información o a la información gestionada por ellos.

Misión de la Agencia.

1. La Ley 7/2014, de 30 de julio, de la Agencia Tributaria Canaria, crea este ente de derecho público con personalidad jurídica y patrimonio propio adscrito a la consejería competente en materia tributaria, como nuevo instrumento de organización administrativa responsable, en nombre y por cuenta de la Comunidad Autónoma de Canarias, de la aplicación efectiva del sistema tributario canario, y de aquellos recursos de otras administraciones y entidades que se le atribuyan por ley o por convenio.

2. La Agencia tiene como misión hacer efectivo el deber de todos de contribuir al sostenimiento de los gastos públicos de la Comunidad Autónoma de Canarias de acuerdo con su capacidad económica mediante el sistema tributario canario.

Principios de la PSI.

1. Sin perjuicio de los principios básicos establecidos en el Esquema Nacional de Seguridad (ENS), la PSI se desarrollará, con carácter general, de acuerdo con los siguientes principios determinados en la Orden de 31 de julio de 2013, por la que se establece el marco común y las directrices básicas de la política de seguridad de la información en el ámbito de la Administración Electrónica de la Administración Pública de la Comunidad Autónoma de Canarias, modificada por la Orden de 15 de diciembre de 2016:

a) Principio de confidencialidad: los sistemas de información deberán ser accesibles únicamente para aquellas personas usuarias, órganos y entidades o procesos expresamente autorizados para ello, con respeto a las obligaciones de secreto y sigilo profesional.

b) Principio de integridad y calidad: se deberá garantizar el mantenimiento de la integridad y calidad de la información, así como de los procesos de tratamiento de la misma, estableciéndose los mecanismos para asegurar que los procesos de creación, tratamiento, almacenamiento y distribución de la información contribuyen a preservar su exactitud y corrección.

c) Principio de disponibilidad y continuidad: se garantizará un alto nivel de disponibilidad en los sistemas de información y se dotarán de los planes y medidas necesarias para asegurar la continuidad de los servicios y la recuperación ante posibles contingencias graves.

d) Principio de gestión del riesgo: se deberá articular un proceso continuo de análisis y tratamiento de riesgos como mecanismo básico sobre el que debe descansar la gestión de la seguridad de los sistemas de información.

e) Principio de proporcionalidad en coste: la implantación de medidas que mitiguen los riesgos de seguridad de los sistemas de información deberá hacerse bajo un enfoque de proporcionalidad en los costes económicos y operativos.

f) Principio de concienciación y formación: se articularán iniciativas que permitan a las personas usuarias conocer sus deberes y obligaciones en cuanto al tratamiento seguro de la información. De igual forma, se fomentará la formación específica en materia de seguridad TIC de todas aquellas personas que gestionan y administran sistemas de información y telecomunicaciones.

g) Principio de prevención: se desarrollarán planes y líneas de trabajo específicas orientadas a prevenir fraudes, incumplimientos o incidentes relacionados con la seguridad TIC.

h) Principio de mejora continua: se revisará el grado de eficacia de los controles de seguridad TIC implantados, al objeto de adecuarlos a la constante evolución de los riesgos y del entorno tecnológico de la Administración Pública de la Comunidad Autónoma de Canarias.

i) Principio de seguridad TIC en el ciclo de vida de los sistemas de información: las especificaciones de seguridad se incluirán en todas las fases del ciclo de vida de los servicios y sistemas, acompañadas de los correspondientes procedimientos de control.

j) Principio de función diferenciada: la responsabilidad de la seguridad de los sistemas de información estará diferenciada de la responsabilidad sobre la prestación de los servicios.

Definiciones.

1. Los términos, palabras, expresiones y las definiciones contenidas en la presente Resolución han de ser entendidas en el siguiente sentido:

a) Gestión de riesgos: actividades coordinadas para dirigir y controlar los riesgos dentro del departamento.

b) Infraestructura tecnológica: aquellos recursos físicos y lógicos sobre los que se soportan los sistemas de información.

c) Infraestructura tecnológica corporativa: aquellos recursos físicos y lógicos sobre los que se soportan los sistemas de información, los cuales gestiona el órgano competente en materia de telecomunicaciones y nuevas tecnologías.

d) Riesgo: estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños o perjuicios a la organización.

e) Sistema de Información: conjunto organizado de recursos para que la información se pueda recoger, almacenar, procesar o tratar, mantener, usar, compartir, distribuir, poner a disposición, presentar o transmitir.

f) Sistemas de Información corporativos: aquellos sistemas de información cuyo ámbito de aplicación y uso es general y común para toda la Administración Pública de la Comunidad Autónoma de Canarias.

g) Sistemas de Información propios: aquellos sistemas de información cuyo ámbito de aplicación es específico para un área concreta y su gestión pertenece a este departamento.

h) Datos personales: toda información sobre una persona física identificada o identificable; se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.

i) Tratamiento: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.

Marco normativo.

1. El marco normativo para el desarrollo de la gestión de los servicios y competencias de la Agencia Tributaria Canaria es el siguiente:

a) Ley 7/2014, de 30 de julio, de la Agencia Tributaria Canaria, por el que se crea este ente de derecho público con personalidad jurídica y patrimonio propio adscrito a la Consejería competente en materia tributaria.

b) Decreto 125/2014, de 18 de diciembre, por el que se aprueba el Estatuto de la Agencia Tributaria Canaria que establece los principios y estrategias de actuación y organización de la Agencia Tributaria Canaria.

c) Decreto 19/2011, de 10 de febrero, por el que se regula la utilización de los medios electrónicos en la Administración Pública de la Comunidad Autónoma de Canarias.

d) Orden de 31 de julio de 2013, por la que se establece el marco común y las directrices básicas de la política de seguridad de la información en el ámbito de la Administración Electrónica de la Administración Pública de la Comunidad Autónoma de Canarias.

e) Acuerdo del Gobierno de Canarias de 25 de junio de 2018 que aprueba las instrucciones que conforman la normativa de seguridad en el uso de los recursos informáticos, telefónicos y de redes de comunicación de la Administración Pública de la Comunidad Autónoma de Canarias.

f) Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.

g) Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la Administración Electrónica.

h) Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.

i) Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.

j) Real Decreto 203/2021, de 30 de marzo, por el que se aprueba el Reglamento de actuación y funcionamiento del sector público por medios electrónicos.

k) Reglamento General de Protección de Datos, Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016.

l) Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

m) Instrucciones Técnicas de Seguridad en desarrollo del ENS.

Organización de la seguridad.

1. La estructura organizativa de la gestión de la seguridad de la información en el ámbito de la Administración Electrónica de la Agencia Tributaria Canaria es la siguiente:

a) El Comité de Seguridad de la Información.

b) Las personas responsables de la información.

c) Las personas responsables de los servicios.

d) Las personas responsables de seguridad de la información.

e) Las personas responsables de los sistemas.

f) Oficina de Seguridad de la Información.

Responsables de la información.

1. Conforme al Esquema Nacional de Seguridad (ENS), el Responsable de la Información es la persona que establece las necesidades de seguridad de la información que se maneja y efectúa las valoraciones del impacto que tendría un incidente que afectara a su seguridad. Tiene, además, en exclusiva, la potestad de modificar el nivel de seguridad requerido para la misma (Anexo II.5.7.2 del ENS).

2. Esta responsabilidad recaerá en el titular del órgano administrativo que gestione cada procedimiento o trámite.

3. Son funciones de cada Responsable de Información, dentro de su ámbito de actuación, las siguientes:

a) Determinar los niveles de seguridad de la información tratada, valorando los impactos de los incidentes que afecten a la seguridad de la información.

Esta valoración se realizará conforme al marco establecido en el artículo 43 y los criterios generales prescritos en el Anexo I del ENS.

b) Son los responsables, junto a los Responsables del Servicio, de aceptar los riesgos residuales calculados en el análisis de riesgos y de realizar su seguimiento y control.

Responsables de los servicios.

1. Conforme al Esquema Nacional de Seguridad (ENS) el Responsable del Servicio es la persona que determina los requisitos de seguridad de los servicios prestados.

2. Esta responsabilidad recaerá en el titular del órgano administrativo que gestione cada servicio.

3. Son funciones de cada Responsable de Servicio, dentro de su ámbito de actuación, las siguientes:

a) Determinar los niveles de seguridad del servicio tratado, valorando los impactos de los incidentes que afecten a la seguridad del servicio.

Esta valoración se realizará conforme al marco establecido en el artículo 43 y los criterios generales prescritos en el Anexo I del ENS.

b) Son los responsables, junto a los Responsables de la Información, de aceptar los riesgos residuales calculados en el análisis de riesgos y de realizar su seguimiento y control.

Responsables de seguridad de la información.

1. Conforme al Esquema Nacional de Seguridad (ENS), el Responsable de Seguridad de la Información es la persona que determina las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios.

2. Esta responsabilidad recaerá en la persona que designe la Dirección de la Agencia Tributaria y no podrá recaer en la persona Responsable del Sistema.

3. Sus funciones son las siguientes:

a) Promover la seguridad de la información manejada y de los servicios electrónicos prestados por los sistemas de información.

b) Proponer la normativa de seguridad de segundo nivel, que según el desarrollo normativo de la PSI, descrito en el presente anexo, se corresponde con las políticas específicas de seguridad y con las normas STIC, de obligado cumplimiento.

c) Aprobar la normativa de seguridad de tercer nivel, que se corresponde a los procesos, procedimientos STIC e instrucciones técnicas STIC.

d) Procurar que la documentación de seguridad se mantenga organizada y actualizada y de gestionar los mecanismos de acceso a la misma.

e) Promover las actividades de concienciación y formación en materia de seguridad en su ámbito de responsabilidad.

f) Realizar la coordinación y seguimiento de la implantación de los proyectos de adecuación al Esquema Nacional de Seguridad.

g) Realizar los preceptivos análisis de riesgos, seleccionar las salvaguardas a implantar y revisar el proceso de gestión del riesgo, elevando un informe anual al Comité de Seguridad de la Información.

h) Coordinar el proceso de Gestión de la Seguridad.

i) Determinar la categoría del sistema según el procedimiento descrito en el Anexo I del ENS y las medidas de seguridad que deben aplicarse de acuerdo con lo previsto en el Anexo II del mismo.

j) Proponer la Declaración de Conformidad, que comprende la relación de medidas de seguridad seleccionadas para un sistema (artículo 27 y Anexo II.2 del ENS), para su aprobación por la Dirección de la Agencia, previo informe del Comité de Seguridad de la Información.

k) Verificar que las medidas de seguridad son adecuadas para la protección de la información y los servicios.

l) Promover auditorías periódicas para verificar el cumplimiento de las obligaciones en materia de seguridad de la información y analizar los informes de auditoría, elaborando las conclusiones a presentar a los Responsables del Servicio y los Responsables de la Información para que adopten las medidas correctoras adecuadas.

m) Realizar el seguimiento, con el soporte de la oficina técnica de seguridad, del estado de seguridad de los sistemas proporcionado por las herramientas de monitorización, gestión de eventos de seguridad y otros posibles mecanismos de vigilancia implementados en el sistema.

n) Diseñar los planes de respuesta ante incidentes de seguridad.

o) Dirigir, coordinar y apoyar, a través de con el soporte de la oficina técnica de seguridad, la investigación de posibles incidentes de seguridad e informar de los mismos al Comité de Seguridad de la Información o al que este determine.

p) Elaborar informes periódicos de seguridad que incluyan los incidentes más relevantes de cada periodo.

q) Supervisar a los proveedores en los que se han externalizado servicios, en base a los informes facilitados por estos.

r) Coordinar y, en su caso, elaborar informes sobre métricas e indicadores relacionados con la seguridad.

4. Cuando la complejidad, distribución, separación física de sus elementos o número de usuarios de los sistemas de información lo justifiquen, cada Responsable de Seguridad de la Información podrá designar los responsables de seguridad delegados que considere necesarios, que tendrán dependencia funcional directa de aquel y serán responsables en su ámbito de todas aquellas acciones que les delegue el mismo.

5. Para el ejercicio de sus funciones podrá contar con el asesoramiento y apoyo del Comité de Seguridad de la Información, así como de la unidad administrativa responsable de los servicios tecnologías de la información y comunicaciones del departamento.

Responsables de los sistemas.

1. Esta responsabilidad recaerá en los titulares de los órganos responsables del desarrollo, mantenimiento y explotación del sistema de información que soporte los servicios correspondientes.

2. Las funciones de los Responsables del Sistema serán las siguientes:

a) Desarrollar, operar y mantener el sistema de información durante todo su ciclo de vida, así como aprobar los cambios que pudieran afectar a la seguridad del sistema.

b) Implantar las medidas necesarias para garantizar la seguridad del sistema durante todo su ciclo de vida, siguiendo las indicaciones del Responsable de Seguridad de la Información.

c) Aprobar toda modificación sustancial de la configuración de cualquier elemento del sistema.

d) Suspender el manejo de una determinada información o la prestación de un servicio electrónico si es informado de deficiencias graves de seguridad, previo acuerdo con el Responsable de dicha información o servicio y con el Responsable de Seguridad de la información.

3. Las funciones citadas en el punto anterior podrán recaer en diferentes personas, en el caso de que las competencias sobre los diferentes activos que componen el sistema (aplicaciones, redes, etc.) o las diferentes fases del ciclo de vida del sistema recaigan sobre órganos distintos.

Oficina de seguridad de la información.

1. La Oficina de Seguridad de la Información se crea como equipo de apoyo al Responsable de Seguridad de la Información para el cumplimiento de sus funciones en lo correspondiente a seguridad de la información.

2. La Oficina de Seguridad de la Información estará conformada por los siguientes miembros:

a) La persona designada como Responsable de Seguridad de la Información como Director de la Oficina de Seguridad de la Información.

b) La persona o personas designadas como Administrador Especialista en Seguridad.

c) La persona o personas designadas como Operador de Seguridad de la Información.

3. Sus funciones son las siguientes:

a) Órgano de trabajo de apoyo en la labor del Responsable de la Seguridad de la Información.

b) Gestión operativa del plan de implantación de seguridad, explotación y mantenimiento.

c) Análisis y gestión de las cuestiones relacionadas con la seguridad de los sistemas de información dentro de su ámbito de competencia.

d) Redacción y presentación de propuestas al Comité de Seguridad de la Información.

e) Asumirá cualquier otra tarea que le sea encomendada por el Responsable de Seguridad de la Información en el ámbito de la seguridad de la información.

4. Para el ejercicio de sus atribuciones la Oficina podrá contar con la asistencia interna o externa que considere oportuno para el cumplimiento de sus funciones.

Administrador especialista en seguridad.

1. La administración de la seguridad recaerá en la persona que designe la Dirección de la Agencia Tributaria a propuesta del Responsable de Seguridad de la Información.

2. Si a raíz de la complejidad del sistema se precisa personal adicional para llevar a cabo las funciones de administración, se podrá designar diferentes especialistas en seguridad.

3. Sus funciones más significativas son las siguientes:

a) La implementación, gestión y mantenimiento de las medidas de seguridad aplicables al sistema de información.

b) La gestión, configuración y actualización, en su caso, del hardware y software en los que se basan los mecanismos y servicios de seguridad del sistema de información.

c) La gestión de las autorizaciones y privilegios concedidos a los usuarios del sistema, incluyendo la monitorización de que la actividad desarrollada en el sistema se ajusta a lo autorizado.

d) La aplicación de los procedimientos operativos de seguridad.

e) Asegurar que los controles de seguridad establecidos son adecuadamente observados.

f) Asegurar que son aplicados los procedimientos aprobados para manejar el sistema de información.

g) Supervisar las instalaciones de hardware y software, sus modificaciones y mejoras para asegurar que la seguridad no está comprometida y que en todo momento se ajustan a las autorizaciones pertinentes.

h) Monitorizar el estado de seguridad del sistema proporcionado por las herramientas de gestión de eventos de seguridad y mecanismos de auditoría técnica implementados en el sistema.

i) Informar al Responsable de la Seguridad de cualquier anomalía, compromiso o vulnerabilidad relacionada con la seguridad.

j) Colaborar en la investigación y resolución de incidentes de seguridad, desde su detección hasta su resolución, análisis y gestión de las lecciones aprendidas.

Operador de seguridad de la información.

1. Bajo la responsabilidad y dirección del Responsable de Seguridad de la Información como Director de la Oficina de Seguridad, el Operador de Seguridad de la Información presta servicios de ciberseguridad, desarrollando la capacidad de vigilancia y detección de amenazas en la operación diaria de los sistemas de información, especialmente los que manejan información más sensible, a la vez que mejora la capacidad de respuesta del sistema ante cualquier ataque.

2. En función de las necesidades, el Operador de Seguridad de la Información puede ser interno o estar externalizado, en cuyo caso actuará remotamente a través de canales establecidos en coordinación con el Responsable de Seguridad de la Información.

3. Si a raíz de la complejidad del sistema se precisa personal adicional para llevar a cabo las funciones de operador, se podrá designar diferentes operadores en seguridad.

4. Sus funciones más significativas son las siguientes:

a) Vigilar y monitorizar la seguridad de los sistemas y de los dispositivos de defensa, ya sea mediante interfaces previstas o instalando las correspondientes sondas.

b) Análisis y correlación de eventos de seguridad y registros de actividad de los sistemas.

c) Operación y actualización de los dispositivos de defensa.

d) Podrá constituir un Equipo de Respuesta a Incidentes de Seguridad.

e) Servicio de Alerta Temprana de alertas de seguridad en las redes corporativas y en las conexiones a Internet de los sistemas.

f) Gestión de vulnerabilidades (análisis y determinación de las acciones de subsanación y parcheado) de aplicaciones y servicios.

g) Análisis forense digital y de seguridad.

h) Servicio de cibervigilancia que posibilite la prospectiva sobre la ciberamenaza.

Resolución de conflicto.

1. En caso de conflicto entre los diferentes responsables que componen la estructura organizativa de una PSI, este será resuelto por el superior jerárquico de los mismos. En su defecto, será resuelto por la Dirección de la Agencia, oído el Comité de Seguridad de la Información.

2. En caso de conflictos entre los responsables que componen la estructura organizativa de una PSI y los definidos en seguimiento de la normativa de protección de datos de carácter personal, prevalecerá la decisión que determine el responsable del fichero que presente un mayor nivel de exigencia respecto a la protección de los datos de carácter personal.

Obligaciones del personal.

1. Todo el personal que presta servicios en la Agencia, tiene la obligación de conocer y cumplir su Política de Seguridad de la Información y la normativa de seguridad derivada, siendo responsabilidad del Comité de Seguridad de la Información disponer los medios necesarios para que la información llegue a los afectados.

2. Todo el personal que se incorpore a uno de dichos organismos o vaya a tener acceso a alguno de sus sistemas de información o la información gestionada por ellos deberá ser informado de la PSI.

Gestión de riesgos.

1. La gestión de riesgos debe realizarse de manera continua sobre los sistemas de información, conforme a los principios de gestión de la seguridad basada en los riesgos y revaluación periódica.

2. La persona Responsable de Seguridad de la Información se encargará de realizar los preceptivos análisis de riesgos, y de seleccionar las salvaguardas a implantar.

3. Las personas Responsables de la Información y de los Servicios son responsables de los riesgos sobre la información y sobre los servicios, respectivamente, y por tanto de aceptar los riesgos residuales calculados en el análisis y de realizar su seguimiento y control.

4. El proceso de gestión de riesgos, que comprende las fases de categorización de los sistemas, análisis de riesgos y selección de medidas de seguridad a aplicar, que deberán ser proporcionales a los riesgos y estar justificadas, deberá revisarse cada año por parte de la persona Responsable de Seguridad de la Información, que elevará un informe al Comité de Seguridad de la Información.

Desarrollo normativo de la PSI. Documentación de seguridad.

1. El marco normativo sobre seguridad de la información será de obligado cumplimiento y se desarrollará en tres niveles según el ámbito de aplicación y nivel de detalle técnico, de manera que cada norma de un determinado nivel de desarrollo se fundamente en las normas de nivel superior.

Dichos niveles de desarrollo normativo son los siguientes:

a) Primer nivel normativo: la Orden de 31 de julio de 2013 por la que se establece el marco común y las directrices básicas de la política de seguridad de la información de la Administración Pública de la Comunidad Autónoma de Canarias, la presente Resolución, directrices y normas de seguridad generales dentro del ámbito de aplicación de la PSI definido en el presente anexo.

b) Segundo nivel normativo: Políticas Específicas de Seguridad de la Información y Normas de Seguridad TIC. Las Políticas Específicas desarrollan con un mayor grado de detalle la PSI dentro de un ámbito determinado. Las Normas dan respuesta, sin entrar en detalles de implementación ni tecnológicos, a qué se puede hacer y qué no en relación a un cierto tema desde el punto de vista de la seguridad, qué se considera un uso apropiado o inapropiado, las consecuencias derivadas del incumplimiento, entre otros aspectos.

Los documentos relativos a este segundo nivel normativo los deberá elaborar el Comité de Seguridad de la Información. Serán aprobados, a propuesta de la persona Responsable de Seguridad de la Información, por la Dirección de la Agencia.

c) Tercer nivel normativo: Procesos y Procedimientos STIC e Instrucciones Técnicas STIC. Son documentos que dan respuesta, incluyendo detalles de implementación y tecnológicos, a cómo se puede realizar una determinada tarea respetando los principios de seguridad de la organización, y los procesos internos en ella establecidos.
Los Procesos, Procedimientos STIC e Instrucciones Técnicas STIC serán aprobados por la persona Responsable de Seguridad de la Información.

2. Aparte de los documentos citados en el apartado 1, la documentación de seguridad del sistema podrá contar, bajo criterio de la persona Responsable de Seguridad de la Información, con otros documentos de carácter no vinculante: recomendaciones, buenas prácticas, informes, registros, evidencias electrónicas, entre otros aspectos.

3. La persona Responsable de Seguridad de la Información será responsable de mantener la documentación de seguridad actualizada y organizada, así como de gestionar los mecanismos de acceso a la misma.

4. El Comité de Seguridad de la Información establecerá los mecanismos necesarios para compartir la documentación derivada del desarrollo normativo con el propósito de normalizarlo en la medida de lo posible en todo el ámbito de aplicación de la PSI.

5. En toda la normativa y documentación referente a la seguridad de la información que se derive de la aplicación de esta norma se utilizará un lenguaje que evite el uso de formas discriminatorias o androcéntricas, de forma que la terminología empleada esté en armonía con el principio de igualdad de sexos.

Protección de datos de carácter personal.

1. En lo que se refiere a los ficheros con datos de carácter personal, estarán referenciados en el correspondiente Documento de Seguridad donde se hará constar tanto los ficheros afectados como los responsables correspondientes.

2. Todos los sistemas de información de la Agencia Tributaria Canaria se ajustarán a los niveles de seguridad requeridos por la normativa de protección de datos de carácter personal.

3. En caso de conflicto con la normativa de seguridad indicada en el punto anterior, prevalecerá la norma que presente un mayor nivel de exigencia respecto a la protección de los datos de carácter personal.

Formación y concienciación.

1. La Agencia Tributaria Canaria deberá desarrollar actividades formativas específicas orientadas a la concienciación y formación de su plantilla, así como a la difusión entre esta de la PSI y de su desarrollo normativo.

2. El Comité de Seguridad de la Información y la persona Responsable de Seguridad de la Información se encargarán de promover las actividades de formación y concienciación en materia de seguridad, según lo indicado en el Anexo II, apartado 3, letra e) y en el Anexo I Responsables de seguridad de la información, apartado 3, letra e) de la presente Resolución.

Actualización de la PSI.

1. Las propuestas de revisión de las PSI las elaborarán los Responsables de Seguridad de la Información con el apoyo del Comité de Seguridad de la Información y serán aprobadas por la Dirección de la Agencia Tributaria Canaria.

Auditoría.

1. Los sistemas de información corporativos, así como los sistemas de información propios de este Departamento y sus organismos autónomos serán objeto, al menos cada dos años, de una auditoría regular ordinaria interna o externa que verifique el cumplimiento de los requerimientos del ENS. Con carácter extraordinario, deberá realizarse dicha auditoría siempre que se realicen modificaciones sustanciales en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad requeridas.

2. Los informes de auditoría quedarán a disposición del Comité de Seguridad de la Información.

ANEXO II

Comité de seguridad de la información.

1. El Comité de Seguridad de la Información se crea como un órgano colegiado en el seno de la Agencia Tributaria Canaria.

2. El Comité de Seguridad de la Información tendrá la siguiente composición:

a) Presidencia: la Dirección de la Agencia.

b) Vocalías:

• La persona titular de la Secretaría General de la Agencia u órgano equivalente.

• Las personas titulares de las distintas subdirecciones y órganos asimilados de la Agencia.

• La persona titular de la dependencia de estudios, estrategias e inspección de los servicios.

• Los funcionarios de la Agencia que designe la persona titular de la Dirección.

c) Secretaría: la persona designada por la Presidencia como Responsable de Seguridad de la Información, que actuará con voz y voto.

3. El Comité de Seguridad de la Información coordinará todas las actividades relacionadas con la seguridad de los sistemas de información y ejercerá, como mínimo, las siguientes funciones:

a) Elaborar los borradores de modificación y actualización de la PSI.

b) Analizar los riesgos e impulsar su evaluación.

c) Impulsar la actualización de los criterios y directrices sobre seguridad de la información.

d) Impulsar medidas para mejorar y reforzar los sistemas de seguridad y control.

e) Impulsar el cumplimiento y difusión de la PSI, promoviendo las actividades de concienciación y formación en materia de seguridad para el personal de la Agencia.

f) Elaborar los borradores de directrices y normas de seguridad generales dentro del ámbito de aplicación de la PSI definido en la presente Resolución.

g) Elaborar la normativa de seguridad de segundo nivel, que según el desarrollo normativo de la PSI, descrito en el Anexo I de la presente Resolución, se corresponde con las políticas específicas de seguridad y con las Normas de Seguridad TIC (en adelante, Normas STIC), de obligado cumplimiento.

h) Coordinar las decisiones y actuaciones de los diferentes Responsables de Seguridad, asesorando la resolución de los posibles conflictos entre los mismos bajo el criterio de garantizar la seguridad de las infraestructuras tecnológicas compartidas.

i) Impulsar los proyectos para la adecuación al cumplimiento del Esquema Nacional de Seguridad.

j) Compartir experiencias de éxito en materia de seguridad entre sus miembros para velar por el cumplimiento de la PSI y su normativa de desarrollo.

k) Formular la priorización de las actuaciones en materia de seguridad de la información cuando los recursos sean limitados.

4. El Comité de Seguridad de la Información ajustará su funcionamiento a las previsiones contenidas en la Sección 3ª del Capítulo II, artículos 15 y siguientes de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.

5. El Comité de Seguridad de la Información se deberá reunir con carácter ordinario al menos una vez al año, y con carácter extraordinario cuando lo decida su Presidencia. Las reuniones se realizarán en horario de trabajo y, cuando proceda, por videoconferencia. No se percibirán indemnizaciones en concepto de asistencia por concurrencia al Comité.

6. El Comité de Seguridad de la Información podrá recabar de personal técnico la información o asesoramiento pertinente para el ejercicio de sus funciones. En caso necesario este personal podrá ser convocado por el Comité para su asistencia a las reuniones, en calidad de asesores, con voz pero sin voto.

7. Podrá acordarse la constitución de subgrupos de trabajo para el análisis, elaboración y ejecución de trabajos o actividades específicas, dentro del ámbito de sus funciones.

© Gobierno de Canarias