Art. 2
En vigor desde 13 nov 2021
1. Principios básicos.
Además de los previstos en el artículo 4 del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, el Ministerio de Universidades tratará la información y los datos personales bajo su responsabilidad conforme a los principios de protección de datos y seguridad de la información establecidos en el artículo 5 del Reglamento (UE) 2016/679 del Parlamento Europeo y el Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
Asimismo, se establece lo siguiente:
a) Atención de los derechos de las personas afectadas: se adoptarán medidas en la organización que garanticen el adecuado ejercicio por las personas afectadas, cuando proceda, de los derechos de acceso, rectificación, supresión, oposición, limitación del tratamiento y portabilidad respecto de sus datos de carácter personal.
b) Alcance estratégico: la protección de datos y la seguridad de la información debe contar con el compromiso y apoyo de todos los niveles directivos, de forma que se coordine e integre con el resto de las iniciativas estratégicas del departamento para conformar un todo coherente y eficaz.
c) Responsabilidad diferenciada: en los sistemas de información del Ministerio de Universidades se observará el principio de responsabilidad diferenciada. Las responsabilidades y funciones se delimitarán de la siguiente manera, sin perjuicio de lo establecido en la normativa en materia de protección de datos:
1.º Responsable del tratamiento: determina los fines y medios del tratamiento.
2.º Encargado del tratamiento: trata datos personales por cuenta del responsable del tratamiento según sus requerimientos.
3.º Persona designada como delegado de protección de datos: informa y asesora al responsable del tratamiento de las obligaciones en materia de cumplimiento del Reglamento (UE) 2016/679 del Parlamento Europeo y el Consejo, de 27 de abril de 2016.
4.º Responsable de la información: determina los requisitos de seguridad de la información tratada.
5.º Responsable del servicio: determina los requisitos funcionales y de seguridad de los servicios prestados a partir de la información.
6.º Responsable del sistema: tiene la responsabilidad sobre los requisitos no funcionales y de diseño, construcción, operación y soporte de los sistemas de información utilizados en la prestación de los servicios.
7.º Responsable de seguridad de la información: determina las decisiones para satisfacer los requisitos de seguridad.
d) Gestión de riesgos: Al evaluar el riesgo, se tendrán en cuenta los riesgos que se derivan para los derechos de las personas con respecto al tratamiento de sus datos personales.
e) Proporcionalidad: Se establecerán medidas de protección, detección y recuperación que resulten proporcionales a los potenciales riesgos y a la criticidad y valor de la información, de los tratamientos de datos personales y de los servicios afectados.
f) Proceso de verificación: Se implantará un proceso de verificación, evaluación y valoración regulares, de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad de los tratamientos.
g) Protección de datos y seguridad desde el diseño y por defecto: se adoptarán las medidas técnicas y organizativas que corresponda implantar para atender los riesgos generados por el tratamiento de acuerdo con lo exigido por el citato Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016.
h) Mejora continua: Las medidas de seguridad se reevaluarán y actualizarán periódicamente, para adecuar su eficacia a la constante evolución de los riesgos y sistemas de protección. La seguridad de la información será atendida, revisada y auditada por personal cualificado, instruido y dedicado.
2. Principios particulares y responsabilidades específicas.
Los principios particulares y responsabilidades específicas garantizan el cumplimiento de los principios básicos de la PPDSI e inspiran las actuaciones del departamento en materia de protección de datos y seguridad de la información. Se establecen, como mínimo, los siguientes:
a) Registro de las actividades de tratamiento y gestión de activos de información. Se mantendrá un registro de las actividades de tratamiento, en los términos previstos en el artículo 4, cuyo inventario se hará público en la sede electrónica del Ministerio de Universidades. Asimismo, los activos de información se encontrarán inventariados y categorizados y estarán asociados a una unidad responsable.
b) Seguridad ligada a las personas. Se implementarán los mecanismos necesarios para que cualquier persona que acceda o pueda acceder a los activos de información y a los datos de carácter personal, conozca sus responsabilidades y de este modo se reduzca el riesgo derivado de un uso indebido de dichos activos. El nivel de seguridad en la identificación electrónica exigido en los procedimientos y servicios se definirá y publicará en la sede electrónica.
c) Seguridad física. Los activos de información serán emplazados en áreas seguras, protegidas por controles de acceso físicos adecuados a su nivel de criticidad. Los sistemas y los activos de información que contienen dichas áreas estarán suficientemente protegidos frente a amenazas físicas o ambientales.
d) Seguridad en la gestión de comunicaciones y operaciones. Se establecerán los procedimientos necesarios para lograr una adecuada gestión de la seguridad, operación y actualización de las tecnologías de la información y comunicaciones. La información que se transmita a través de redes de comunicaciones deberá ser adecuadamente protegida, teniendo en cuenta su nivel de sensibilidad y de criticidad, mediante mecanismos que garanticen su seguridad. El sistema ha de proteger el perímetro, en particular si se conecta a redes públicas. En todo caso, se analizarán los riesgos derivados de la interconexión del sistema, a través de redes, con otros sistemas y se controlará su punto de unión.
e) Control de acceso. Se limitará el acceso a los activos de información por parte de las personas usuarias, procesos y otros sistemas de información mediante la implantación de los mecanismos de identificación, autenticación y autorización acordes a la criticidad de cada activo. Además, quedará registrada la utilización del sistema con objeto de asegurar la trazabilidad del acceso y auditar su uso adecuado, conforme a la actividad de la organización. Para corregir, o exigir responsabilidades en su caso, cada persona que acceda a la información del sistema debe estar identificada de forma única, de modo que se sepa, en todo momento, quién recibe derechos de acceso, de qué tipo son éstos y quién ha realizado determinada actividad. En caso de existir indicios de actividades delictivas o que comprometan la seguridad de la información tratada por el Ministerio de Universidades, éstos deberán ser comunicados a la autoridad competente para su persecución.
f) Adquisición, desarrollo y mantenimiento de los sistemas de información. Se contemplarán los aspectos de seguridad de la información en todas las fases del ciclo de vida de los sistemas de información, garantizando su seguridad por defecto.
g) Gestión de los incidentes de seguridad. Se establecerán los mecanismos apropiados para la correcta identificación, registro, resolución y notificación, en los términos previstos en la normativa de protección de datos y seguridad de la información de los incidentes de seguridad.
h) Gestión de la continuidad. Se implementarán los mecanismos apropiados, para asegurar la disponibilidad de los sistemas de información y mantener la continuidad de sus procesos de negocio, de acuerdo con las necesidades de nivel de servicio de sus usuarios.
i) Gestión de riesgos. La gestión de riesgos permitirá el mantenimiento de un entorno controlado, minimizando los riesgos hasta niveles aceptables, de acuerdo con el artículo 6 del Real Decreto 3/2010, de 8 de enero. Se realizará un análisis de riesgos de manera continua sobre los sistemas de información que incluirá un análisis de riesgos avanzado que evalúe los riesgos residuales y proponga tratamientos adecuados. Para la realización del análisis de riesgos, se tendrán en cuenta las recomendaciones publicadas para el ámbito de la Administración Pública y en especial las guías elaboradas por el Centro Criptológico Nacional.
j) Cumplimiento. Se adoptarán las medidas técnicas, organizativas y procedimentales necesarias para el cumplimiento de la normativa en materia de seguridad de la información y protección de datos de carácter personal.
k) Profesionalidad. La seguridad de los sistemas estará atendida, revisada y auditada por personal cualificado, dedicado e instruido en todas las fases de su ciclo de vida (instalación, mantenimiento, gestión de incidencias y desmantelamiento). El personal del Ministerio de Universidades recibirá la formación específica necesaria para que conozca la PPSSI del Departamento y la normativa aplicable en la materia, para garantizar la seguridad de las tecnologías de la información aplicables a los sistemas y servicios de la Administración. El Ministerio de Universidades exigirá que las organizaciones que le presten servicios de seguridad cuenten con profesionales cualificados y con unos niveles idóneos de gestión y madurez en los servicios prestados.
l) Uso aceptable de los sistemas de información: en el caso del personal al servicio del Ministerio de Universidades, los medios y equipos informáticos a utilizar serán directamente provistos e instalados por las unidades de administración de sistemas informáticos y comunicaciones o por los proveedores de servicios, como parte del acuerdo de prestación que se establezca, con conocimiento y autorización de las unidades técnicas encargadas a tal efecto, siendo el único uso aceptable de los mismos el adecuado desempeño de las funciones propias de su puesto de trabajo y quedando prohibida toda alteración no autorizada de los mismos.
Historial de versiones
Este artículo no ha sufrido modificaciones desde su publicación.
Tus anotaciones
Proeli/es/o/2021/11/05/uni1231#art-2