Estás en:
ATENCION. La versión HTML de este documento no es oficial. Para obtener una versión oficial, debe descargar el archivo en formato PDF.
14 páginas.
Formato de archivo en PDF/Adobe Acrobat.
Tamaño: 251.55 Kb.
BOC-A-2022-146-2464.
Firma electrónica
- Descargar
PREÁMBULO
En los últimos años el ordenamiento jurídico, tanto estatal como autonómico, ha ido incorporando un conjunto de políticas públicas, relacionadas intrínsecamente con el propio funcionamiento de la Administración, con la finalidad de conformar un nuevo modelo de relación del sector público con la ciudadanía que redunde en una prestación de servicios públicos de mayor calidad, más eficaz y eficiente, adaptado a los nuevos entornos relacionales a través de medios digitales y sirviendo mejor a los principios de necesidad, eficacia, proporcionalidad, seguridad jurídica, transparencia y eficiencia.
La Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, establece que las Administraciones Públicas se relacionarán entre sí y con sus órganos, organismos públicos y entidades vinculados o dependientes a través de medios electrónicos, que aseguren la interoperabilidad y seguridad de los sistemas y soluciones adoptadas por cada una de ellas, garantizarán la protección de los datos de carácter personal y facilitarán preferentemente la prestación conjunta de servicios a los interesados. Asimismo, el artículo 156.2 de este texto legal dispone que el Esquema Nacional de Seguridad tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos en el ámbito del sector público, y está constituido por los principios básicos y requisitos mínimos que garanticen adecuadamente la seguridad de la información tratada.
La Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, recoge en su artículo 13, sobre derechos de las personas en sus relaciones con las Administraciones Públicas, el relativo a la protección de datos de carácter personal y, en particular, a la seguridad y confidencialidad de los datos que figuren en los ficheros, sistemas y aplicaciones de las Administraciones Públicas.
La administración electrónica debe ser confiable para que los ciudadanos y ciudadanas realicen los trámites administrativos correspondientes a través de la misma con total seguridad y fiabilidad. Para ello, se aprueba el Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad, en el ámbito de la Administración Electrónica, estableciendo la política de seguridad que se ha de aplicar en la utilización de los medios electrónicos y determinando los principios básicos y requisitos mínimos requeridos para una protección adecuada de la información.
El Real Decreto 311/2022, de 3 de mayo, señala en su artículo 12 que cada administración pública contará con una política de seguridad formalmente aprobada por el órgano competente. Asimismo, cada órgano o entidad con personalidad jurídica propia comprendido en el ámbito subjetivo del artículo 2 deberá contar con una política de seguridad formalmente aprobada por el órgano competente.
Por otro lado, mediante Real Decreto 203/2021, de 30 de marzo, por el que se aprueba el Reglamento de actuación y funcionamiento del sector público por medios electrónicos, se establecen cuatro grandes objetivos: mejorar la eficiencia administrativa, incrementar la transparencia y la participación, garantizar servicios digitales fácilmente utilizables y mejorar la seguridad jurídica.
El Instituto Canario de Estadística (ISTAC) es el órgano central del sistema estadístico de Canarias y centro oficial de investigación del Gobierno de Canarias, creado y regulado por la Ley 1/1991, de 28 de enero, de Estadística de la Comunidad Autónoma de Canarias. El Instituto es un organismo autónomo, con actividad administrativa común a las Administraciones Públicas, pero a su vez con actividad sujeta a regímenes particulares como son la estadística pública o la investigación científica.
En el seno de las instituciones estadísticas cabe distinguir entre datos producto de su actividad administrativa común y datos consecuencia de su actividad estadística. En este segundo caso se protegen en la legislación estadística, a través del principio de secreto estadístico, los datos confidenciales de las personas físicas pero también los de cualquier unidad de observación como las personas jurídicas u hogares. Además el secreto estadístico prohíbe la utilización de los datos con fines no estadísticos y su revelación ilegal. Para ello, el artículo 10 de la Ley 1/1991, de 28 de enero, de Estadística de la Comunidad Autónoma de Canarias, indica que el ISTAC contará con los medios informáticos propios, necesarios para la realización de las funciones que tiene encomendadas, de forma autónoma y continuada y con garantías para preservar el secreto estadístico.
El marco común y las directrices básicas de la política de seguridad de la información en el ámbito de la Administración Electrónica de la Administración Pública de la Comunidad Autónoma de Canarias ha sido determinado por Orden de 31 de julio de 2013, del Consejero de Presidencia, Justicia e Igualdad. En su artículo 2, señala que cada organismo incluido en el ámbito de la aplicación de la Orden deberá desarrollar y aprobar el documento de política seguridad de la información en el ámbito de la administración electrónica del organismo, así como las normas y procedimientos que adecuen, en su caso, el marco común y las directrices básicas en la Administración Pública de la Comunidad Autónoma de Canarias a sus particularidades, también determina que su aprobación se realizará mediante orden de la persona titular de la consejería correspondiente o resolución del órgano competente de la entidad pública u organismo autónomo, que deberá publicarse en el Boletín Oficial de Canarias.
La presente Orden atiende a los principios de buena regulación recogidos en el artículo 129 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas. Así, la norma es respetuosa con los principios de necesidad, eficacia y proporcionalidad, en tanto se persigue el fin pretendido, de conformidad con el artículo 2.2 de la citada Orden de 31 de julio de 2013, por la que se establece el marco común y las directrices básicas de la política de seguridad de la información en el ámbito de la Administración Electrónica de la Administración Pública de la Comunidad Autónoma de Canarias; no tratándose de una norma restrictiva de derechos.
Asimismo, la Orden garantiza el principio de seguridad jurídica, ejerciéndose la iniciativa normativa de manera coherente con el resto del ordenamiento jurídico, generando un marco normativo estable, predecible, integrado claro y de certidumbre. En aplicación del principio de transparencia, se definen claramente los objetivos de la iniciativa normativa. En virtud del principio de eficacia, racionaliza, en su aplicación, la gestión de recursos públicos.
Asimismo, la redacción de la presente Orden se ha adecuado a la normativa sobre impacto de género, en el sentido de lo establecido en el artículo 14, apartado 11, de la Ley Orgánica 3/2007, de 22 de marzo, para la igualdad efectiva de mujeres y hombres, y en el artículo 4 de la Ley 1/2010, de 26 de febrero, Canaria de Igualdad entre Mujeres y Hombres, referido a los principios generales de actuación de los poderes públicos de Canarias, entre ellos, el de transversalidad, principio que comporta aplicar la perspectiva de género en las fases de planificación, ejecución y evaluación de todas las políticas con la finalidad de eliminar las desigualdades y promover la igualdad entre mujeres y hombres.
En su virtud, visto el carácter de la presente Orden y atendiendo al artículo 32.c) de la Ley 1/1983, de 14 de abril, del Gobierno y de la Administración Pública de la Comunidad Autónoma de Canarias,
DISPONGO:
Artículo 1.- Objeto y ámbito de aplicación.
1. La presente Orden tiene por objeto aprobar la Política de Seguridad de la Información, en adelante, PSI, en el ámbito de la administración electrónica del Instituto Canario de Estadística, en adelante ISTAC, así como el marco organizativo y tecnológico de la misma.
2. Dicha PSI se aplicará a todos los servicios, aplicaciones o sistemas del ISTAC, por todo el personal de las unidades administrativas de este organismo, así como el personal de otros organismos o entidades que hayan sido autorizados para acceder a los sistemas de información incluidos en su ámbito de aplicación.
3. La PSI del ISTAC debe ser observada por las personas físicas, jurídicas y entes sin personalidad en sus relaciones con las entidades anteriores cuando procedan al uso de sus sistemas de información.
Artículo 2.- Misión del istac.
El Instituto Canario de Estadística (ISTAC) es el órgano central del sistema estadístico autonómico y centro oficial de investigación del Gobierno de Canarias, creado y regulado por la Ley 1/1991, de 28 de enero, de Estadística de la Comunidad Autónoma de Canarias (CAC).
El Instituto ejerce las funciones previstas en la Ley reguladora de la materia estadística en el ámbito de la Comunidad Autónoma de Canarias y en su Reglamento de Organización y Funcionamiento, entre las que destacan las siguientes:
1. Proveer información estadística: el ISTAC tiene entre sus objetivos proveer, con independencia técnica y profesional, información estadística de interés de la Comunidad Autónoma de Canarias atendiendo a la fragmentación del territorio y a sus singularidades y cumpliendo con los principios establecidos en el Código de Buenas Prácticas de la Estadísticas Europeas.
2. Coordinar la actividad estadística pública: el ISTAC es el organismo responsable de la promoción, gestión y coordinación de la actividad estadística pública de la Comunidad Autónoma de Canarias, asumiendo el ejercicio de la competencia estatutaria prevista en el artículo 122 del Estatuto de Autonomía de Canarias sobre competencia exclusiva en materia estadística.
Artículo 3.- Principios de la PSI.
Sin perjuicio de los principios básicos establecidos en el Esquema Nacional de Seguridad, la PSI del ISTAC en el ámbito de la Administración electrónica se desarrollará, con carácter general, de acuerdo a los siguientes principios:
a) Confidencialidad: los sistemas de información deberán ser accesibles únicamente para aquellas personas usuarias, órganos y entidades o procesos expresamente autorizados para ello, con respeto a las obligaciones de secreto y sigilo profesional.
b) Integridad y calidad: se deberá garantizar el mantenimiento de la integridad y calidad de la información, así como de los procesos de tratamiento de la misma, estableciéndose los mecanismos para asegurar que los procesos de creación, tratamiento, almacenamiento y distribución de la información contribuyen a preservar su exactitud y corrección.
c) Disponibilidad y continuidad: se garantizará un alto nivel de disponibilidad en los sistemas de información y se dotarán de los planes y medidas necesarias para asegurar la continuidad de los servicios y la recuperación ante posibles contingencias graves.
d) Gestión del riesgo: se deberá articular un proceso continuo de análisis y tratamiento de riesgos como mecanismo básico sobre el que debe descansar la gestión de la seguridad de los sistemas de información.
e) Proporcionalidad en coste: la implantación de medidas que mitiguen los riesgos de seguridad de los sistemas de información deberá hacerse bajo un enfoque de proporcionalidad en los costes económicos y operativos.
f) Concienciación y formación: se articularán iniciativas que permitan a las personas usuarias conocer sus deberes y obligaciones en cuanto al tratamiento seguro de la información. De igual forma, se fomentará la formación específica en materia de seguridad de las tecnologías de la información y comunicación (TIC) de todas aquellas personas que gestionan y administran sistemas de información y telecomunicaciones.
g) Prevención: se desarrollarán planes y líneas de trabajo específicas orientadas a prevenir fraudes, incumplimientos o incidentes relacionados con la seguridad TIC.
h) Mejora continua: se revisará el grado de eficacia de los controles de seguridad TIC implantados, al objeto de adecuarlos a la constante evolución de los riesgos y del entorno tecnológico de la Administración Pública de la Comunidad Autónoma de Canarias.
i) Seguridad TIC en el ciclo de vida de los sistemas de información: las especificaciones de seguridad se incluirán en todas las fases del ciclo de vida de los servicios y sistemas, acompañadas de los correspondientes procedimientos de control.
j) Función diferenciada: la responsabilidad de la seguridad de los sistemas de información estará diferenciada de la responsabilidad sobre la prestación de los servicios.
k) Cumplimiento: se adoptarán las medidas técnicas, organizativas y procedimentales necesarias para el cumplimiento de la normativa legal vigente en materia de seguridad de la información, prestando especial atención a las obligaciones de secreto estadístico y sigilo profesional.
Artículo 4.- Definiciones.
A los efectos previstos en esta Orden, los conceptos utilizados tienen el significado y el alcance determinado en los apartados siguientes:
a) Gestión de riesgos: actividades coordinadas para dirigir y controlar una organización con respecto a los riesgos.
b) Infraestructura tecnológica: aquellos recursos físicos y lógicos, sobre los que se soportan los sistemas de información.
c) Riesgo: estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños o perjuicios a la organización.
d) Sistema de Información: conjunto organizado de recursos para que la información se pueda recoger, almacenar, procesar o tratar, mantener, usar, compartir, distribuir, poner a disposición, presentar o transmitir.
e) Sistemas de Información propios: aquellos sistemas de información cuyo ámbito de aplicación es específico para un área concreta y su gestión pertenece a este organismo autónomo.
Artículo 5.- Marco normativo.
El marco normativo para el desarrollo de la gestión de los servicios y competencias del ISTAC es el siguiente:
a) Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
b) Ley Orgánica 3/2018, de 5 de diciembre, de Protección de datos Personales y Garantía de los Derechos Digitales.
c) Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.
d) Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
e) Ley 1/1991, de 28 de enero, de Estadística de la Comunidad Autónoma de Canarias.
f) Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la Administración Electrónica.
g) Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
h) Decreto 19/2011, de 10 de febrero, por el que se regula la utilización de los medios electrónicos en la Administración Pública de la Comunidad Autónoma de Canarias.
i) Decreto 11/2017, de 16 de enero, por el que se aprueba el Reglamento de organización y funcionamiento del Instituto Canario de Estadística.
j) Orden de 31 de julio de 2013, por la que se establece el marco común y las directrices básicas de la política de seguridad de la información en el ámbito de la Administración Electrónica de la Administración Pública de la Comunidad Autónoma de Canarias.
k) Resolución de 25 de junio de 2018, por la que se dispone la publicación del Acuerdo que aprueba las instrucciones que conforman la normativa de seguridad en el uso de los recursos informáticos, telefónicos y de redes de comunicación de la Administración Pública de la Comunidad Autónoma de Canarias.
Artículo 6.- Organización de la gestión de la PSI.
La estructura organizativa de la gestión de la seguridad de la información en el ámbito de la Administración electrónica del ISTAC está compuesta por los siguientes agentes:
a) Comité para la Gestión y Coordinación de la Seguridad de la Información.
b) Responsable de la Información.
c) Responsable del Servicio.
d) Responsable de Seguridad.
e) Responsable del Sistema.
Artículo 7.- Comité para la Gestión y Coordinación de la Seguridad de la Información.
1. Se crea el Comité para la Gestión y Coordinación de la Seguridad de la Información (Comité), como una comisión de trabajo en el seno del ISTAC, que estará constituido por los siguientes miembros.
a) Presidencia: la persona titular de la Dirección del ISTAC.
b) Secretaría: una persona del ISTAC, con vínculo funcionarial, designada por la Presidencia, que actuará con voz y sin voto.
c) Vocalías: las personas titulares de las unidades administrativas del ISTAC, la persona u órgano designado delegado o delegada de protección de datos, que actuará con independencia y no podrá participar en las decisiones relativas a los fines y medios del tratamiento, y la persona titular de la plaza de técnico de sistemas del Servicio de Informática Estadística y Banco de Datos.
2. El Comité, en cuanto a su régimen de funcionamiento, en lo no previsto en esta Orden, se regirá por lo dispuesto para los órganos colegiados por la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
3. El Comité se reunirá con carácter ordinario una vez al año y con carácter extraordinario a propuesta de su Presidencia. Las reuniones se realizarán en horario de trabajo, de forma presencial o por videoconferencia. No se percibirán indemnizaciones en concepto de asistencia por concurrencia al Comité.
4. El Comité podrá recabar de personal técnico la información o asesoramiento pertinente para el ejercicio de sus funciones. En caso necesario este personal podrá ser convocado por el Comité para su asistencia a las reuniones, en calidad de asesores, con voz pero sin voto.
5. Podrá acordarse la constitución de subgrupos de trabajo para el análisis, elaboración y ejecución de trabajos o actividades específicas, dentro del ámbito de sus funciones.
Artículo 8.- Funciones del Comité para la Gestión y Coordinación de la Seguridad de la Información.
Al Comité le corresponden las siguientes funciones:
a) Elaborar los borradores de modificación y actualización de la PSI.
b) Analizar los riesgos e impulsar su evaluación.
c) Revisar el informe anual de Análisis de Riesgos realizado por la persona Responsable de Seguridad.
d) Impulsar la actualización de los criterios y directrices sobre seguridad de la información.
e) Impulsar medidas para mejorar y reforzar los sistemas de seguridad y control.
f) Impulsar el cumplimiento y difusión de la PSI, promoviendo las actividades de concienciación y formación en materia de seguridad para el personal del ISTAC.
g) Elaborar los borradores de directrices y normas de seguridad generales del ISTAC, que deberán cumplir el marco normativo de la presente Orden.
h) Elaborar la normativa de seguridad de segundo nivel, que se corresponde con las políticas específicas de seguridad y con las Normas de Seguridad TIC (en adelante, Normas STIC), de obligado cumplimiento.
i) Coordinar las decisiones y actuaciones de la persona Responsable de Seguridad, asesorando la resolución de los posibles conflictos entre los mismos bajo el criterio de garantizar la seguridad de las infraestructuras tecnológicas compartidas.
j) Impulsar los proyectos para la adecuación al cumplimiento del Esquema Nacional de Seguridad.
k) Compartir experiencias de éxito en materia de seguridad entre sus miembros para velar por el cumplimiento de la PSI y su normativa de desarrollo.
l) Coordinar todas las actividades relacionadas con la seguridad de los sistemas de información.
m) Velar porque la seguridad de la información sea parte del proceso de planificación del ISTAC.
n) Cualquier otra actuación en materia de seguridad de la información que no corresponda específicamente a otro agente.
Artículo 9.- Persona responsable de la Información y del Servicio.
1. Las funciones de la persona responsable de la Información y del Servicio que establece la normativa que regula el Esquema Nacional de Seguridad, serán desempeñadas por la persona titular de la Dirección del ISTAC.
2. Son funciones de la persona responsable de la Información, dentro de su ámbito de actuación, establecer las necesidades de seguridad de la información y efectuar las valoraciones del impacto que tendría un incidente que afectara a su seguridad. Tiene, además, la potestad de modificar el nivel de seguridad requerido para la misma.
3. Son funciones de la persona responsable del Servicio, dentro de su ámbito de actuación, determinar los requisitos de seguridad de los servicios prestados.
4. Para desarrollar estas funciones, la persona responsable de la Información y del Servicio contará con la colaboración de las personas gestoras, que se corresponderán con las personas titulares de aquellas unidades a su cargo con rango de Servicio o equivalentes.
Artículo 10.- Persona responsable de Seguridad.
1. La persona responsable de Seguridad es la persona titular de la Dirección del ISTAC.
2. La persona responsable de Seguridad es la persona que determina las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios.
3. La persona responsable de Seguridad podrá designar a una o varias personas responsables de Seguridad delegadas, que bajo su dependencia funcional, será responsable en su ámbito de todas aquellas acciones que le sean delegadas. Esta delegación de funciones en ningún caso supondrá la delegación de la responsabilidad.
4. Para el ejercicio de sus funciones contará con el asesoramiento y apoyo del Comité.
5. A la persona responsable de Seguridad le corresponde coordinar de manera continua el desarrollo de la seguridad de la información en el ámbito de aplicación de la presente Orden, además de las siguientes funciones:
a) Promover la seguridad de la información manejada y de los servicios electrónicos prestados por los sistemas de información.
b) Proponer la normativa de seguridad de segundo nivel, que se corresponde con las políticas específicas de seguridad y con las Normas de Seguridad TIC (Normas STIC), de obligado cumplimiento.
c) Aprobar la normativa de seguridad de tercer nivel, que se corresponde a los procesos, procedimientos STIC e instrucciones técnicas STIC.
d) Procurar que la documentación de seguridad se mantenga organizada y actualizada, y de gestionar los mecanismos de acceso a la misma.
e) Promover las actividades de concienciación y formación en materia de seguridad en su ámbito de responsabilidad.
f) Realizar la coordinación y seguimiento de la implantación de los proyectos de adecuación al Esquema Nacional de Seguridad.
g) Realizar los preceptivos análisis de riesgos, de seleccionar las salvaguardas a implantar y de revisar el proceso de gestión del riesgo, elevando un informe anual al Comité.
h) Promover auditorías periódicas para verificar el cumplimiento de las obligaciones en materia de seguridad de la información y analizar los informes de auditoría, elaborando las conclusiones a presentar a las personas Responsables del Servicio y Responsables de la Información para que adopten las medidas correctoras adecuadas.
i) Coordinar el proceso de Gestión de la Seguridad.
j) Firmar la Declaración de Aplicabilidad, que comprende la relación de medidas de seguridad seleccionadas para un sistema, conforme al artículo 28 del Real Decreto 311/2022, de 3 de mayo.
k) Elaborar informes periódicos de seguridad que incluyan los incidentes más relevantes de cada periodo.
l) Determinar la categoría de seguridad de los sistemas de información, según el procedimiento descrito en el Anexo I del Real Decreto 311/2022, de 3 de mayo, y las medidas de seguridad que deben aplicarse de acuerdo con lo previsto en el Anexo II del mismo Real Decreto.
m) Determinará la categoría de seguridad con base en las valoraciones que realicen los responsables de la información y de los servicios conforme al Anexo I del Real Decreto 311/2022, de 3 de mayo.
Artículo 11.- Persona responsable del Sistema.
1. Será responsable del Sistema la persona titular del Servicio de Informática Estadística y Banco de Datos del ISTAC, al ser la unidad administrativa que ostenta las competencias en materia de informática y nuevas tecnologías, y por tanto en el desarrollo, mantenimiento, implantación y explotación de los sistemas de información que dan soporte a los servicios que presta el ISTAC en el ámbito de la Administración Electrónica.
2. Las funciones de la persona responsable del Sistema son las siguientes:
a) Implantar las medidas necesarias para garantizar la seguridad del sistema durante todo su ciclo de vida, siguiendo las indicaciones de la persona Responsable de Seguridad.
b) Aprobar toda modificación sustancial de la configuración de cualquier elemento del sistema.
c) Suspender el manejo de una determinada información o la prestación de un servicio electrónico si es informado de deficiencias graves de seguridad, previo informe de la persona Responsable de dicha información o servicio, y de la persona Responsable de Seguridad. De no alcanzarse acuerdo al respecto, se estará al régimen de resolución de conflictos previsto en el artículo 15.
3. Para el ejercicio de sus funciones contará con el apoyo de la persona titular de la plaza de técnico de sistemas del Servicio de Informática Estadística y Banco de Datos.
Artículo 12.- Obligaciones del personal.
1. Toda persona que preste servicios en el ISTAC tiene la obligación de conocer y cumplir la PSI y la normativa de seguridad derivada, siendo responsabilidad del Comité disponer de los medios necesarios para que la información esté disponible para las personas afectadas y comunicar dicha disponibilidad.
2. Todas las personas que utilicen o tengan acceso a los sistemas tecnológicos o de información del Gobierno de Canarias en general y del ISTAC en particular, así como a la información en ellos contenida, tienen las siguientes obligaciones:
a) Conocer y respetar la PSI, así como las normas de seguridad y procedimientos de seguridad que la desarrollen y que le afecten.
b) Asistir a las acciones de concienciación en materia de seguridad de la información que se realicen.
c) Utilizar los servicios y sistemas de información, así como la información en ellos contenida y a la que tengan acceso, con una finalidad profesional acorde a las tareas encomendadas en función de su puesto de trabajo y a los fines y propósitos que motivaron la concesión del acceso.
d) Velar por la confidencialidad de la información a la que tengan acceso según la clasificación y características de la misma.
e) Notificar eventos que puedan suponer un incidente de seguridad o evidencien una debilidad que pueda implicar posteriores incidentes.
f) Colaborar en la resolución de incidentes de seguridad y en la realización de acciones preventivas cuando sea necesaria su participación.
g) No realizar acciones intencionadas que perjudiquen la seguridad de los sistemas tecnológicos o de información, ni la información que contienen.
3. El incumplimiento de estas obligaciones podrá ser sancionado de conformidad con la normativa disciplinaria correspondiente.
4. En el caso de personas vinculadas a entidades externas, el uso se limitará a las tareas o actividades circunscritas en los términos del contrato o acuerdo que regula la relación entre esa entidad y el ISTAC.
Artículo 13.- Terceras partes.
1. Cuando se presten servicios a otros organismos o se ceda información a terceros:
a) Se les hará partícipes de la PSI y de las normas de seguridad o procedimientos de seguridad relacionados con el servicio o la información afectados.
b) Se establecerán canales de información y coordinación entre las respectivas personas responsables de gestión de la seguridad de la información y se establecerán procedimientos de seguridad para la reacción ante incidentes.
2. Cuando se utilicen servicios o se maneje información de otros organismos o entidades, se procurarán canales de información y coordinación en materia de seguridad de la información.
3. En los contratos de adquisición de sistemas o aplicaciones informáticas, de prestación de servicios tecnológicos, y también en el caso de contratos de prestación de servicios de otro tipo que implique el uso de servicios, aplicaciones o sistemas informáticos internos, se deberán tener en cuenta las medidas y consideraciones de seguridad de la información que resulten de aplicación, según la legislación vigente en la materia. También se deberán tener en cuenta las medidas y consideraciones de seguridad de la información que resulten de aplicación legal, en caso de acuerdos de cesión de sistemas, aplicaciones o acceso a servicios de otros organismos o entidades.
4. Cuando algún aspecto de la PSI no pueda ser satisfecho por una tercera parte, se requerirá de la persona Responsable de Seguridad un informe sobre los riesgos en que se puede incurrir y la forma de tratarlos. A la vista de dicho informe y antes de que se haga efectiva la prestación, uso, acceso o cesión de que se trate, las personas responsables de la información o de los servicios afectados decidirán sobre la aceptación o no del riesgo residual.
5. En todo caso, se dará cumplimiento tanto de la normativa del Esquema Nacional de Seguridad, como de la normativa en materia de protección de datos personales. Será de especial aplicación el Esquema Nacional de Seguridad a los sistemas de información de las entidades del sector privado, incluida la obligación de contar con la política de seguridad, cuando, de acuerdo con la normativa aplicable y en virtud de una relación contractual, presten servicios o provean soluciones al ISTAC para el ejercicio por este de sus competencias y potestades administrativas, de conformidad con el artículo 2.3 del Real Decreto 311/2022, de 3 de mayo.
Artículo 14.- Gestión de riesgos.
1. La gestión de riesgos es un factor esencial para una exitosa gestión de la seguridad de la información, y debe realizarse de manera continua sobre los sistemas de información, conforme a los principios de gestión de la seguridad basada en los riesgos del artículo 7 y reevaluación periódica del artículo 10 del Real Decreto 311/2022, de 3 de mayo, que regula el Esquema Nacional de Seguridad.
2. La persona Responsable de Seguridad es la encargada del análisis de riesgos de los sistemas de información gestionados por el ISTAC y de seleccionar las salvaguardas a implantar. El informe del análisis será revisado y aprobado por el Comité.
3. Las personas Responsables de la Información y del Servicio son las responsables de los riesgos sobre la información y sobre los servicios, respectivamente, y por tanto de aceptar los riesgos residuales calculados en el análisis y de realizar su seguimiento y control.
4.El proceso de gestión de riesgos, que comprende las fases de categorización de los sistemas, análisis de riesgos y selección de medidas de seguridad a aplicar, que deberán ser proporcionales a los riesgos y estar justificadas, deberá revisarse cada año por parte de la persona Responsable de Seguridad, que elevará un informe al Comité.
5. En el caso de riesgos que se deriven del tratamiento de datos personales, la persona responsable del tratamiento, asesorada por la persona delegada de protección de datos, realizará un análisis de riesgos y, en los supuestos previstos en la normativa de protección de datos, una evaluación de impacto en la protección de datos. En todo caso, prevalecerán estas medidas, en caso de resultar agravadas respecto de las previstas en el Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
Artículo 15.- Resolución de conflictos.
1. En caso de conflicto entre las diferentes personas responsables que componen la estructura organizativa de la PSI, este será resuelto por la persona superior jerárquica de los mismos. En su defecto, será resuelto por la persona titular de la Dirección del ISTAC, oído el Comité.
2. En caso de conflictos entre las personas responsables que componen la estructura organizativa de la PSI y las definidas en seguimiento de la normativa de protección de datos de carácter personal, prevalecerá la decisión que determine la responsable del tratamiento que presente un mayor nivel de exigencia respecto a la protección de los datos de carácter personal.
Artículo 16.- Auditoría.
1. Los sistemas de información propios del ISTAC serán objeto, al menos cada dos años, de una auditoría regular ordinaria interna o externa que verifique el cumplimiento de los requerimientos del Esquema Nacional de Seguridad. Con carácter extraordinario deberá realizarse dicha auditoría siempre que se realicen modificaciones sustanciales en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad requeridas.
2. Los informes de auditoría quedarán a disposición del Comité.
Artículo 17.- Documentación de la seguridad del sistema.
1. Sin perjuicio del marco normativo general previsto en el artículo 5, el cuerpo jurídico específico de la PSI de este organismo autónomo, que será de obligado cumplimiento, se desarrollará en tres niveles, según el ámbito de aplicación y nivel de detalle técnico. Dichos niveles son los siguientes:
a) Primer nivel: la Orden de 31 de julio de 2013, de la Consejería de Presidencia, Justicia e Igualdad, por la que se establece el marco común y las directrices básicas de la política de seguridad de la información en el ámbito de la Administración Electrónica de la Administración Pública de la Comunidad Autónoma de Canarias, la presente Orden, y las disposiciones generales, directrices y normas de seguridad generales dentro del ámbito de aplicación de la PSI definido en el artículo 1.
b) Segundo nivel: Instrucciones específicas de seguridad de la información e instrucciones de seguridad TIC. Estas instrucciones dan respuesta, sin entrar en detalles de implementación ni tecnológicos, a qué se puede hacer y qué no en relación a un cierto tema desde el punto de vista de la seguridad: qué se considera un uso apropiado o inapropiado, las consecuencias derivadas del incumplimiento, entre otros aspectos.
Los documentos relativos a este segundo nivel los deberá elaborar el Comité. Serán aprobados, a propuesta de la persona Responsable de Seguridad, por la persona titular de la Dirección del Instituto Canario de Estadística.
c) Tercer nivel: Instrucciones técnicas STIC. Son documentos que dan respuesta, incluyendo detalles de implementación y tecnológicos, a cómo se puede realizar una determinada tarea respetando los principios de seguridad de la organización, y los procesos internos en ella establecidos.
Los documentos relativos a este tercer nivel serán aprobados por la persona Responsable de Seguridad.
2. Aparte de los documentos citados en el apartado 1, la documentación de seguridad del sistema podrá contar, bajo criterio de la persona Responsable de Seguridad, con otros documentos de carácter no vinculante: recomendaciones, buenas prácticas, informes, registros, evidencias electrónicas, entre otros aspectos.
3. La persona Responsable de Seguridad mantendrá la documentación de seguridad actualizada y organizada en los sistemas de conocimiento corporativos, y gestionará los mecanismos de acceso a la misma atendiendo a los mismos.
4. El Comité establecerá los mecanismos necesarios para compartir la documentación derivada del apartado 1 con el propósito de normalizarlo, en la medida de lo posible, en todo el ámbito de aplicación de la PSI.
Artículo 18.- Formación y concienciación.
1. El ISTAC deberá desarrollar actividades formativas específicas orientadas a la concienciación y formación del personal de este organismo autónomo, así como a la difusión de la PSI y de su desarrollo normativo.
2. El Comité y la persona Responsable de Seguridad se encargarán de promover las actividades de formación y concienciación en materia de seguridad.
Artículo 19.- Actualización de la PSI.
La propuesta de revisión de la PSI la elaborará la persona Responsable de Seguridad con el apoyo del Comité y será aprobada por la Dirección del ISTAC.
Disposición adicional primera.- Financiación de medidas de cumplimiento de PSI.
La aplicación de las previsiones contenidas en esta Orden no supondrá incremento del gasto público. Por tanto, los órganos y entidades afectadas deberán desarrollar las medidas derivadas de su cumplimiento ateniéndose a sus disponibilidades presupuestarias ordinarias, no dando lugar, en ningún caso, a planteamientos de necesidades adicionales de financiación.
Disposición adicional segunda.- Facultad para dictar instrucciones de interpretación y aplicación.
Se faculta a la persona titular de la Dirección del ISTAC para dictar las instrucciones que sean necesarias para la correcta interpretación y aplicación de la presente Orden.
Disposición final única.- Publicación y entrada en vigor.
1.- La presente Orden se publicará en el Boletín Oficial de Canarias, así como en la sede electrónica.
2.- La presente Orden entrará en vigor el día siguiente de su publicación en el Boletín Oficial de Canarias.
Las Palmas de Gran Canaria, a 14 de julio de 2022.
EL VICEPRESIDENTE Y CONSEJERO
DE HACIENDA, PRESUPUESTOS
Y ASUNTOS EUROPEOS,
Román Rodríguez Rodríguez.
© Gobierno de Canarias