ORDEN de 31 de julio de 2013, por la que se establece el marco común y las directrices básicas de la política de seguridad de la información en el ámbito de la Administración Electrónica de la Administración Pública de la Comunidad Autónoma de Canarias.

• Sección: I. DISPOSICIONES GENERALES
• Emisor: Consejería de Presidencia, Justicia e Igualdad
• Rango de Ley: Orden

La Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos, señala entre sus fines el crear las condiciones de confianza en el uso de los medios electrónicos, estableciendo las medidas necesarias para la preservación de la integridad de los derechos fundamentales, y en especial los relacionados con la intimidad y la protección de datos de carácter personal, por medio de la garantía de la seguridad de los sistemas, los datos, las comunicaciones y los servicios electrónicos. Estos fines han sido desarrollados por el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica (ENS).

El citado Real Decreto 3/2010, de 8 de enero, persigue fundamentar la confianza en que los sistemas de información prestarán sus servicios y custodiarán la información de acuerdo con sus especificaciones funcionales, sin interrupciones o modificaciones fuera de control, y sin que la información pueda llegar a conocimiento de personas no autorizadas.

El ENS establece el marco regulatorio de la Política de Seguridad de la Información (PSI), que se plasma en un documento, accesible y comprensible para todos los miembros, que define lo que significa seguridad de la información en una organización determinada y que rige la forma en que una organización gestiona y protege la información y los servicios que considera críticos.

Por su parte la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y sus normas de desarrollo aportan criterios para establecer la proporcionalidad entre las medidas de seguridad y la información a proteger.

En el ámbito de la Comunidad Autónoma de Canarias el Decreto 19/2011, de 10 de febrero, por el que se regula la utilización de los medios electrónicos en la Administración Pública de la Comunidad Autónoma de Canarias, garantiza, en el marco de los principios y derechos reconocidos en la Ley 11/2007, la igualdad, autenticidad, integridad, disponibilidad, accesibilidad, confidencialidad y conservación de la información y de los documentos electrónicos, así como la protección de datos de carácter personal. A tal fin prevé en su Disposición Adicional Cuarta la aprobación, previo informe de la Comisión Superior de Tecnologías de la Información, de la política de seguridad que se ha de aplicar en la utilización de los medios electrónicos.

La presente Orden establece el compromiso de la Administración Pública de la Comunidad Autónoma de Canarias con la seguridad de los sistemas de la información, define los objetivos y criterios básicos para el tratamiento de la misma, sienta las bases del marco normativo de seguridad de esta administración y la estructura mínima organizativa y de gestión que velará por su cumplimiento.

Por cuanto antecede, visto el informe de la Comisión Superior de Tecnologías de la Información de fecha 5 de junio de 2012, y en el ejercicio de las competencias que me atribuye el artículo 23.a) del Decreto 331/2011, de 22 de diciembre, por el que se aprueba el Reglamento Orgánico de la Consejería de Presidencia, Justicia e Igualdad y la Disposición Adicional Cuarta del Decreto 19/2011, de 10 de febrero, por el que se regula la utilización de los medios electrónicos en la Administración Pública de la Comunidad Autónoma de Canarias,

D I S P O N G O:

CAPÍTULO I Disposiciones generales Artículos 1 a 6

Artículo 1 Objeto y ámbito de aplicación.

1. La presente Orden tiene por objeto establecer el marco común y las directrices básicas de las políticas de seguridad de la información (en adelante, PSI) en el ámbito de la Administración Electrónica de la Administración Pública de la Comunidad Autónoma de Canarias, así como el establecimiento del marco básico organizativo y tecnológico de las mismas.

2. Esta Orden será de aplicación a las PSI que en el ámbito de la Administración Electrónica de la Administración Pública de la Comunidad Autónoma de Canarias se aprueben por los distintos departamentos, entidades de derecho público y organismos autónomos, siendo de aplicación a todos sus sistemas de información y debiendo ser observada por todo el personal de los mismos, así como por aquellas personas que, no perteneciendo a su organización, tengan acceso a sus sistemas de información o a la información gestionada por ellos.

Artículo 2 Políticas de seguridad de la información (PSI).

1. Sin perjuicio de las directrices establecidas en la presente Orden, cada organismo incluido en su ámbito de aplicación deberá desarrollar y aprobar el documento de PSI en el ámbito de la administración electrónica del organismo, así como las normas y procedimientos que adecuen, en su caso, el marco común y las directrices básicas en la Administración Pública de la Comunidad Autónoma de Canarias a sus particularidades.

   En cualquier caso, las normas y procedimientos organizativos que se desarrollen a partir de cada PSI, deberán respetar y cumplir aquellas normas, procedimientos y medidas de seguridad corporativas que sean aprobadas por el órgano con competencias en materia de telecomunicaciones y sistemas de información, actuando aquellas como directrices complementarias.

2. La PSI en el ámbito de la Administración Electrónica de cada departamento, entidad de derecho público y organismo autónomo deberá ser aprobada mediante orden del titular de la consejería correspondiente o resolución del órgano competente de la entidad pública u organismo autónomo, que deberá publicarse en el Boletín Oficial de Canarias.

   No obstante lo anterior, por razones técnicas, de economía o de eficacia, la PSI de cada departamento podrá incluir la de sus entidades de derecho público y organismos autónomos dependientes.

3. La aprobación de las PSI requerirá informe previo del órgano competente en materia de tecnologías de la información y la comunicación, que versará sobre el cumplimiento del marco común y directrices básicas establecidas en la presente Orden.

4. La PSI de los sistemas de información corporativos será aprobada por orden del titular de la consejería competente en materia de Administración Electrónica y tecnologías de la información y la comunicación.

Artículo 3 Misión de la organización.

Las PSI deberán hacer referencia a la misión del departamento, entidad de derecho público u organismo autónomo correspondiente.

Artículo 4 Objetivos del marco común y las directrices básicas de la PSI.

El marco común y las directrices básicas de las PSI en el ámbito de la Administración Electrónica de la Administración Pública de la Comunidad Autónoma de Canarias persiguen la consecución de los siguientes objetivos:

1. Garantizar a toda la ciudadanía que sus datos serán gestionados de acuerdo a los estándares y buenas prácticas en seguridad de las tecnologías de la información y la comunicación (en adelante, TIC).

2. Aumentar el nivel de concienciación en materia de seguridad TIC de todos los organismos a los que es de aplicación la presente Orden, garantizando que el personal a su servicio es consciente de sus obligaciones y responsabilidades.

3. Establecer las bases de un modelo común de gestión de la seguridad TIC en la Administración Pública de la Comunidad Autónoma de Canarias, que cubra en un ciclo continuo de mejora los aspectos técnicos, organizativos y procedimentales.

4. Garantizar el cumplimiento de la legislación vigente en materia de seguridad TIC.

Artículo 5 Principios de las PSI.

Sin perjuicio de los principios básicos establecidos en el Esquema Nacional de Seguridad, las políticas de seguridad en el ámbito de la Administración Electrónica de la Administración Pública de la Comunidad Autónoma de Canarias se desarrollarán, con carácter general, de acuerdo a los siguientes principios:

1. Principio de confidencialidad: los sistemas de información deberán ser accesibles únicamente para aquellas personas usuarias, órganos y entidades o procesos expresamente autorizados para ello, con respeto a las obligaciones de secreto y sigilo profesional.

2. Principio de integridad y calidad: se deberá garantizar el mantenimiento de la integridad y calidad de la información, así como de los procesos de tratamiento de la misma, estableciéndose los mecanismos para asegurar que los procesos de creación, tratamiento, almacenamiento y distribución de la información contribuyen a preservar su exactitud y corrección.

3. Principio de disponibilidad y...