POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

Transcripción

1 PORTADA Elaborado y revisado: Área de Mejora de Procesos Aprobado: COMITÉ DE CALIDAD Y SEGURIDAD DE LA Observaciones Página 1/13

2 ÍNDICE 1 OBJETO CONTEXTO DEL DESARROLLO DEL SGSI DE RED.ES PARTES INTERESADAS, SUS NECESIDADES Y EXPECTATIVAS MARCO LEGAL Y REGULATORIO EN EL QUE SE DESARROLLAN LAS ACTIVIDADES ALCANCE TÉRMINOS Y DEFINICIONES LIDERAZGO Y COMPROMISO DE LA DIRECCIÓN OBJETIVOS DE SEGURIDAD DE LA Y PLANIFICACIÓN PARA SU EJECUCIÓN 9 9 ESTABLECIMIENTO, IMPLANTACIÓN, MANTENIMIENTO Y MEJORA SGSI/ENS RESPONSABILIDADES EN SEGURIDAD DE LA REVISIÓN DE LA APROBACIÓN, DIFUSIÓN Y APLICACIÓN DE LA MATERIAL DE SOPORTE Documentación de Referencia REGISTROS Tabla de Registros HISTÓRICO DE MODIFICACIONES Página 2 de 13 Observaciones Página 2/13

3 1 OBJETO Establecer las directrices y principios que regirán el modo en que la entidad pública empresarial Red.es gestionará y protegerá su información y sus servicios, a través de la implantación, mantenimiento y mejora de un Sistema de Gestión de Seguridad de la Información (en adelante, SGSI) aplicando los requisitos de la Norma UNE ISO/IEC y de sus partes interesadas, dentro del marco regulatorio legal y vigente como el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, prevista en el artículo 42 de la Ley 11/2007, que exige el establecimiento de una Política de Seguridad para los organismos públicos que utilizan medios electrónicos para ofrecer servicios y o ejecutar programas/proyectos. 2 CONTEXTO DEL DESARROLLO DEL SGSI DE RED.ES Red.es ha determinado las cuestiones externas e internas que son pertinentes en el propósito de desarrollo de su SGSI y son las siguientes: Peligros de la red por el aumento continuo de los ataques informáticos y accesos no autorizados, que obligan a tomar medidas para proteger la información, especialmente la sensible que maneja la entidad como organismo público que se debe a sus partes interesadas. Los cambios continuos de la tecnología, especialmente en el sector de las telecomunicaciones/sociedad de la información, que es al que pertenece la entidad. El marco legal y regulatorio en el que se desarrollan las actividades de la entidad como organismo público. Las necesidades y expectativas de las partes interesadas de la entidad. 3 PARTES INTERESADAS, SUS NECESIDADES Y EXPECTATIVAS Red.es ha determinado las partes interesadas que son relevantes para el SGSI y son las siguientes: Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información. Ministerio de Industria, Energía y Turismo. Organismos de la Administración General del Estado. Empresas privadas. Ciudadanos. Empleados. Página 3 de 13 Observaciones Página 3/13

4 Proveedores. Otros beneficiarios en general de los programas y proyectos que ejecuta la entidad para el fomento de la sociedad de la información en España. La información que requiera Red.es para satisfacer las necesidades y expectativas de las partes interesadas antes mencionadas en el ámbito de sus funciones encomendadas sobre el fomento de la sociedad de la información, como dependiente de la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información, que a su vez es dependiente del Ministerio de Industria, Energía y Turismo, deberá estar protegida en sus dimensiones de disponibilidad, integridad, confidencialidad, autenticidad y trazabilidad, según la clasificación comunicada por estas, el Real Decreto de la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD), la Ley de Propiedad Intelectual (LPI) y el Real Decreto del Esquema Nacional de Seguridad (ENS). 4 MARCO LEGAL Y REGULATORIO EN EL QUE SE DESARROLLAN LAS ACTIVIDADES El artículo 55 de la Ley 14/2000, de 29 de diciembre, de Medidas Fiscales, Administrativas y del Orden Social, que modifica la disposición adicional sexta de la Ley 11/1998, de 24 de abril, General de Telecomunicaciones, expresamente declarada en vigor por la Disposición Derogatoria Única de la Ley 32/2003, de 3 de noviembre General de Telecomunicaciones, configura a Red.es como una entidad pública empresarial, atribuyéndole, entre otras funciones, la relativa al fomento y desarrollo de la sociedad de la información, así como la de asesoramiento de la Administración General del Estado en esta materia. Por su parte, y de manera más detallada, el artículo 3.1 letra e) 1ª del Real Decreto 164/2002, de 8 de febrero, por el que se aprueba el Estatuto de Red.es, en la redacción dada por el Real Decreto 1433/2008, de 29 de agosto, de 11 de septiembre de 2008, establece que corresponde a la entidad, dentro de la función genérica de fomento y desarrollo de la sociedad de la información: la gestión de programas de difusión dirigidos a promover el conocimiento de las telecomunicaciones y de la sociedad de la información, incluyendo la ejecución de los programas para la extensión de las telecomunicaciones y de la sociedad de la información que le encomiende la Administración General del Estado, incluidos los correspondientes a fondos estructurales comunitarios, cuya gestión no esté atribuida a otros órganos. El Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, obliga a Red.es como organismo público a proteger los servicios y la información que gestiona a través de su Sede Electrónica, por lo que adicionalmente, se hace necesario proteger también, aquellos otros servicios, activos físicos y lógicos de los que se alimenta la Sede Electrónica y que son imprescindibles para su prestación satisfactoria a sus partes interesadas. Con la implantación de un SGSI bajo la Norma UNE ISO/IEC integrado con el ENS, se fortalece la seguridad de los servicios y de la información, por la estrecha relación entre ambos y porque se incluyen elementos adicionales que mejoran notablemente la gestión de la seguridad, que es necesaria para Red.es como parte del cumplimiento satisfactorio de su función de promotor de la sociedad de la información. Página 4 de 13 Observaciones Página 4/13

5 Además, Red.es trata datos de carácter personal que se encuentran incorporados en los distintos ficheros que han sido dados de alta en la Agencia Española de Protección de Datos y que se indican en el Documento de Seguridad con sus responsables correspondientes y con las medidas aplicables de acuerdo a los niveles de seguridad, en cumplimiento del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal; por lo que la presente política y el SGSI/ENS se mantendrá en concordancia con este. 5 ALCANCE Red.es ha tomado en cuenta los requisitos de sus partes interesadas, su marco regulatorio legal, la tecnología y los peligros de la red que suponen un grave riesgo para los servicios y la información que gestiona la entidad en el cumplimiento de su misión como organismo público dentro del marco de las funciones encomendadas por la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información, y por el Ministerio de Industria, Energía y Turismo, para determinar el alcance del SGSI, que es el siguiente: Los servicios que Red.es ofrece a través de su Sede Electrónica: Quejas y sugerencias: Procedimiento telemático para poner en conocimiento de la entidad disfunciones o mejoras. Las quejas no tendrán en ningún caso la calificación de recurso administrativo ni su interposición paralizará los plazos establecidos en la normativa vigente. Solicitud genérica: Procedimiento telemático que permite presentar cualquier solicitud, escrito o comunicación genérica -y sus documentos adjuntos-, dirigidos a cualquier órgano o entidad del ámbito de la administración titular del registro. Recursos administrativos: Presentación de recursos administrativos ante acuerdos de Red.es. Gestión contractual con Dominios.es: Conjunto de actividades que controlan la gestión de contratos con Dominios.es. Procedimientos públicos de contratación de obras, suministros o servicios: Procedimientos de gestión de adquisiciones de Red.es. Procedimientos de contratación de personal para Red.es: Procedimientos de contratación de empleados internos de Red.es. Notificación electrónica: Acceso al buzón de notificaciones. Solicitud de acceso a servicio de whois por el puerto 43: Procedimiento telemático que permite determinar el propietario de un nombre de dominio o una dirección IP en Internet. Solicitudes de ayudas e invitaciones: Procedimiento telemático que permite la solicitud de ayudas para la ejecución de programas e iniciativas que fomenten el desarrollo de la sociedad de la información. Página 5 de 13 Observaciones Página 5/13

6 Solicitud de acceso listado Dominios (RISP): Procedimiento telemático que permite gestionar las solicitudes de acceso al listado de Dominios, de acuerdo a la Ley 37/2007, de 16 de noviembre, sobre reutilización de la información del sector público. Código seguro de verificación (CSV) de firma electrónica: Procedimiento telemático que permite verificar la validez de un documento que ha sido firmado electrónicamente. Servicio de pago telemático (SPT): Servicio compartido para las Administraciones Públicas que facilita el proceso de pago de tributos, precios públicos y otros ingresos de Derecho Público utilizando medios telemáticos. Catálogo de datos abiertos / Datos.gob.es: Portal que muestra conjuntos de datos de organismos del sector público que se publican con el objeto de ser reutilizados para desarrollar proyectos, estudios Asignación y demás operaciones: Procedimiento telemático sobre la gestión de actividades de alta, modificación y baja de agentes registradores de Dominios.es. Aquellos servicios de los que se alimenta la Sede Electrónica de Red.es: Observatorio Nacional de las Telecomunicaciones y de la Sociedad de la Información (en adelante, ONTSI): Área de Red.es encargada de la elaboración de estudios sobre la sociedad de la información nacional y europea, gestión y difusión de indicadores, análisis, evaluación y seguimiento del desarrollo e impacto de los programas de Red.es sobre la sociedad de la información en España y el análisis de políticas públicas. Los servicios que ofrece dicha área son los siguientes: Estudios y Prospectiva: Servicio que se encarga de proponer, elaborar y publicar estudios relacionados con la Sociedad de la Información. Indicadores: Servicio que se encarga de sintetizar, analizar indicadores y datos sobre la Sociedad de la Información. Evaluación y Seguimiento de Programas: Servicio que se encarga de la configuración de planes de seguimiento, evaluación de proyectos, seguimiento de programas y planes de la agenda digital para España, en conjunto con la Dirección Ejecutora de Proyectos, la Dirección de Administración y Finanzas, la Subdirección de Reporte y OTP, y el Comité de Evaluación. Análisis de Políticas Públicas: Servicio que se encarga de estudiar y analizar políticas públicas por iniciativa propia o por peticiones de otras áreas de Red.es o de organismos de la Administración General del Estado, con el objeto de valorar la viabilidad de su aplicación en programas y proyectos del fomento de la sociedad de la información, y colaborar en su difusión y en el diseño de políticas públicas en el sector TIC y la sociedad de la información. Gestión de Adquisiciones: Conjunto de procesos de contratación y convenios con terceras partes para llevar a cabo los programas de fomento de la sociedad de la información que gestiona Red.es. Página 6 de 13 Observaciones Página 6/13

7 Gestión del Registro de Nombres de Dominio.es: Conjunto de procesos de la gestión de los nombres y direcciones de dominio de Internet bajo el código correspondiente a España (.es), de acuerdo con la política de registros del Ministerio de Industria, Energía y Turismo, y los procedimientos de la Corporación de Internet para la Asignación de Nombres y Números (ICANN). Gestión de Programas y Proyectos: Conjunto de procesos de la gestión de programas y proyectos de fomento de la sociedad de la información en España que Red.es lleva a cabo como dependiente del Ministerio de Industria, Energía y Turismo. En el alcance antes indicado, se incluyen todos los activos físicos y lógicos que se emplean para la realización de las actividades de los procesos y servicios que lo componen; además de las siguientes instalaciones: Oficinas principales de Red.es ubicadas en el Edificio Bronce (Plaza Manuel Gómez Moreno s/n, Madrid) que incluye un centro de procesamiento de datos (CPD). CPD Principal y de Respaldo mediante contrato de servicios UTE SIA-Telvent, ubicados en la Calle de Valgrande, 6, Alcobendas y en la Calle Acero 30-32, Barcelona, respectivamente. 6 TÉRMINOS Y DEFINICIONES SGSI: Es un sistema de gestión que permite proteger los activos de información de una entidad contra amenazas de seguridad, mediante la implantación de controles de seguridad desarrollados en políticas, procedimientos, normativas e instrucciones técnicas, tomando como base, el cumplimiento de los requisitos de la Norma UNE-ISO/IEC sobre sistemas de gestión de la seguridad de la información. ENS: El Real Decreto 3/2010, de 8 de enero, regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, previsto en el artículo 42 de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos. Es de obligado cumplimiento por parte de los organismos públicos que prestan servicios electrónicos, con el objeto de crear los niveles de seguridad de la información adecuados para el acceso a dichos servicios. Parte interesada: Persona o grupo que tiene un interés en el desempeño o éxito de la organización. Autenticidad: Propiedad o característica consistente en que una entidad es quien dice ser o bien que garantiza la fuente de la que proceden los datos. Confidencialidad: Propiedad o característica consistente en que la información ni se pone a disposición, ni se revela a individuos, entidades o procesos no autorizados. Integridad: Propiedad o característica consistente en que el activo de información no ha sido alterado de manera no autorizada. Página 7 de 13 Observaciones Página 7/13

8 Trazabilidad: Propiedad o característica consistente en que las actuaciones de una entidad pueden ser imputadas exclusivamente a dicha entidad. Disponibilidad: Propiedad o característica de los activos, consistente en que las entidades o procesos autorizados tienen acceso a los mismos cuando lo requieren. Activo: Componente o funcionalidad de un sistema de información susceptible de ser atacado deliberada o accidentalmente con consecuencias para la organización. Incluye información, datos, servicios, aplicaciones (software), equipos (hardware), comunicaciones, recursos administrativos, recursos físicos y recursos humanos. Riesgo: Estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños o perjuicios a la organización. Amenaza: Incidente de seguridad no deseado (agente externo o interno), el cual puede causar daño a la organización, a un sistema o a un activo. Análisis de riesgos: Estudio de las amenazas a las que están expuestos los activos, con el objeto de estimar el impacto en caso de materialización de estas y el riesgo. Tratamiento o gestión de riesgos: Selección de las medidas/controles de seguridad y o acciones que se aplican con el objeto de modificar el riesgo, para evitar o reducir al mínimo la posibilidad de materialización de amenazas y sus daños consecuentes. 7 LIDERAZGO Y COMPROMISO DE LA DIRECCIÓN La Dirección de Red.es se compromete a facilitar y proporcionar los recursos necesarios para el establecimiento, implantación, mantenimiento y mejora del SGSI/ENS de la entidad, así como a demostrar liderazgo y compromiso respecto a este, a través de la constitución del Comité de Calidad y Seguridad de la Información que tendrá la responsabilidad de: Asegurar el establecimiento de la presente política y los objetivos de la seguridad de la información, y que estos sean compatibles con la estrategia de Red.es de fomento de la sociedad de la información en España. Asegurar la integración de los requisitos del SGSI/ENS en los procesos de la entidad. Asegurar que los recursos necesarios para el SGSI/ENS estén disponibles. Comunicar la importancia de una gestión de la seguridad eficaz y conforme con los requisitos del SGSI/ENS. Asegurar que el SGSI/ENS consigue los resultados previstos. Dirigir y apoyar a las personas para contribuir a la eficacia del SGSI/ENS. Promover la mejora continua. Apoyar otros roles pertinentes de la Dirección, liderando a sus áreas de responsabilidad en seguridad de la información. Página 8 de 13 Observaciones Página 8/13

9 El detalle de las funciones específicas del Comité de Calidad y Seguridad de la Información, se describirán en la Normativa de Organización de la Seguridad de la Información. 8 OBJETIVOS DE SEGURIDAD DE LA Y PLANIFICACIÓN PARA SU EJECUCIÓN Anualmente, en nombre de la Dirección de Red.es, el Comité de Calidad y Seguridad de la Información establecerá y comunicará los objetivos de seguridad de la información en las funciones y niveles pertinentes, enfocados a la mejora, utilizando como marco de referencia: Cambios en las necesidades de las partes interesadas que lleven a una mejora del alcance del sistema. Requisitos de seguridad de la información aplicables y los resultados de la apreciación y del tratamiento de los riesgos para garantizar la confidencialidad, integridad, disponibilidad, trazabilidad y autenticidad de la información. Factores internos como la aplicación de técnicas organizativas que mejoren el seguimiento de la tramitación y resolución de incidentes de seguridad. Factores externos como los avances tecnológicos, cuya aplicación mejoren la eficacia del tratamiento de los riesgos. La mejora de la eficacia de la formación y concienciación del personal que trabaja en la entidad y afecta a su desempeño en seguridad de la información. Así mismo, la planificación para la consecución de los objetivos de seguridad de la información establecidos, se realizará tomando en cuenta los siguientes elementos: Lo que se va hacer. Los recursos necesarios. El responsable. Plazo de consecución. Indicadores para evaluar el resultado/cumplimiento. 9 ESTABLECIMIENTO, IMPLANTACIÓN, MANTENIMIENTO Y MEJORA SGSI/ENS El despliegue del SGSI/ENS de Red.es se iniciará a partir del Análisis de Riesgos, que permitirá determinar el nivel de riesgo de seguridad de la información en que se encuentra la entidad e identificar los controles de seguridad necesarios para el tratamiento del riesgo y llevarlo a un nivel aceptable. Los controles de seguridad deberán implantarse, mantenerse y mejorarse continuamente, y estar disponibles como información documentada, mediante procedimientos, normativas, instrucciones técnicas, manuales revisados y aprobados Página 9 de 13 Observaciones Página 9/13

10 por el Comité de Calidad y Seguridad de la Información y firmados por el Secretario General en representación del Director General y del Comité. Se deberá comunicar la información documentada de los controles de seguridad al personal que trabaja en la entidad (empleados y proveedores), que tendrá la obligación de aplicarla en la realización de sus actividades laborales, comprometiéndose de ese modo, al cumplimiento de los requisitos del SGSI/ENS. Se realizarán auditorías que revisen y verifiquen el cumplimiento del SGSI con los requisitos de la Norma ISO/IEC dentro del marco regulatorio legal aplicable en materia de seguridad de la información, por lo que, en caso necesario, el personal afectado por el alcance deberá colaborar en estas, así como en la aplicación de las acciones correctivas que se deriven para el mejoramiento continuo. 10 RESPONSABILIDADES EN SEGURIDAD DE LA El Comité de Calidad y Seguridad de la Información procederá a revisar y proponer la aprobación de la presente Política de Seguridad de la Información a la Dirección de Red.es: La Secretaría General en representación de la Dirección de Red.es, será el órgano encargado de aprobar la política y será la responsable de la autorización de sus modificaciones, así como de toda la información documentada del SGSI/ENS. El Responsable de Seguridad de la Información, cuya figura recae en la Subdirección Adjunta de Control de Contratación y Mejora de Procesos, será el encargado de notificar la presente política al personal de la entidad y de los cambios que en ella se produzcan, así como de coordinar las acciones de implantación, mantenimiento y mejora del SGSI/ENS, y de sus auditorías. Todo el personal de la entidad (directores, directores adjuntos, subdirectores, subdirectores adjuntos, coordinadores, responsables de área, jefes de área, técnicos, soportes técnicos, secretarias, administrativos, proveedores ) será responsable de cumplir la presente política dentro de su área de trabajo, así como de aplicar toda la información documentada del SGSI/ENS en sus actividades laborales que afecta a su desempeño en seguridad de la información. El detalle de las responsabilidades antes indicadas, así como los roles y autoridades en materia de seguridad de la información, se detallarán en una normativa sobre la organización de la seguridad de la información. 11 REVISIÓN DE LA La presente Política de Seguridad de la Información será examinada en las revisiones del sistema por la Dirección, a través del Comité de Calidad y Seguridad de la Información, siempre que se produzcan cambios significativos, como mínimo, una vez al año. Página 10 de 13 Observaciones Página 10/13

11 12 APROBACIÓN, DIFUSIÓN Y APLICACIÓN DE LA POLÍTICA DE SEGURIDAD DE LA La presente Política de Seguridad de la Información será aprobada por la Secretaría General en representación de la Dirección de Red.es mediante firma y difundida a las partes interesadas de Red.es. Así mismo, la Dirección de Red.es dotará de los recursos necesarios para la aplicación efectiva de esta política, y para su buen desarrollo, tanto en las actividades de implantación como en su posterior mantenimiento y mejora de todo el SGSI/ENS de la entidad. Madrid, a 13 de Julio de Fdo.: José Miguel Bueno Sánchez. Secretario General de la entidad pública empresarial Red.es Página 11 de 13 Observaciones Página 11/13

12 13 MATERIAL DE SOPORTE 13.1 Documentación de Referencia Ley 11/1998, de 24 de abril, General de Telecomunicaciones. Ley 14/2000, de 29 de diciembre, de Medidas Fiscales, Administrativas y del Orden Social. Real Decreto 164/2002, de 8 de febrero, por el que se aprueba el Estatuto de Red.es. Norma de Seguridad de la Información UNE-ISO/IEC Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica. Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. Ley de Propiedad Intelectual. 14 REGISTROS 14.1 Tabla de Registros Registro Soporte Resp. archivo Ubicación Política de Seguridad de la Información aprobada y comunicada. I Responsable de Seguridad Servidor de ficheros Sistema archivo Codificación / Accesibilidad Tiempo Cronológico (*) (*): Los registros de esta política, se deberán mantener durante el tiempo que resulte exigible por la normativa nacional o comunitaria. Página 12 de 13 Observaciones Página 12/13

13 15 HISTÓRICO DE MODIFICACIONES VERSIÓN/ REVISIÓN FECHA MODIFICACIONES /10/2011 Elaboración de la Política de Seguridad /09/2013 Adaptación de la política del Sistema de Gestión de la Seguridad de la Información (SGSI) de Red.es al cumplimiento de lo establecido en el Real Decreto 3/2010, de 8 de enero, que regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, previsto en el artículo 42 de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos. Ampliación del alcance de la política del sistema de seguridad de la información, incluyendo los servicios de la Sede Electrónica de Red.es para cumplir con el Esquema Nacional de Seguridad (ENS) /11/2014 Revisión de la política de seguridad correspondiente al periodo Por oportunidades de mejora derivadas de la Auditoría Externa del SGSI, se hace referencia a la garantía de confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad de la información en el apartado 4.1 Objetivos respecto a la Seguridad de la Información. 4.0 Se modifica la política para adaptarla al cumplimiento de las cláusulas de la nueva Norma UNE ISO/IEC 27001:2014 sobre la comprensión de la organización, su contexto, las necesidades y expectativas de las partes interesadas, el alcance del SGSI, el liderazgo y el establecimiento y comunicación de los objetivos de la seguridad de la información. Se amplía el alcance del SGSI al incluir la gestión de programas y proyectos (Artemis Proyectos). Página 13 de 13 Observaciones Página 13/13