ISO 27001: La Seguridad de la Información en la Administración General del Estado

Sistema de Gestión de Seguridad de la Información

Los Sistemas de Gestión de Seguridad de la Información basados en la norma ISO 27001 también pueden ser utilizados para garantizar la seguridad de la información en la Administración General del Estado.

El reglamento de seguridad contenido en el Real Decreto 994, y por lo tanto, de cumplimiento obligatorio para toda entidad pública o privada española, desde diciembre del año 2002 cualquier organismo de la AGE, Administración General del Estado, debe aplicar obligatoriamente ciertos requisitos de seguridad de la información, normalización y conservación de las aplicaciones utilizadas para el ejercicio de sus propias potestades.

El origen se encuentra en los artículos 4 y 5, además de en la disposiciones del Real Decreto 263/1996 que se encarga de regular la utilización de técnicas electrónicas, informáticas y telemáticas de la Administración General del Estado.

En el artículo 4, que trata sobre “Garantías generales de la utilización de soportes, medios y aplicaciones electrónicas, informáticas y telemáticas” lo que plantea:

• Que se podrán usar soportes, medios y aplicaciones electrónicas, informáticas y telemáticas en cualquier actuación administrativa y, en exclusiva, durante el inicio, el tramite y la terminación de procedimientos administrativos, lo que se encuentra de acuerdo con lo dispuesto en el Real Decreto y en su capacitación específica de desarrollo así como en la norma ISO27001 que regula cada procedimiento en materia de Seguridad de la Información.
• Cuando se usan los soportes, medios y aplicaciones que se refieren a la seguridad de la información, se tienen que tomar medidas técnicas y de organización necesarias para asegurar la autenticidad, confidencialidad, integridad, disponibilidad y conservación de la información. Las medidas de seguridad deben tener en cuenta el estado de la tecnología y ser proporcionadas a la naturaleza de los datos y de los tratamientos y los riesgos a los que se encuentran expuestos.
• Las medidas que se han tomado con respecto a la seguridad de la información es aplicada a los soportes, medios y aplicaciones usadas por los organismos de la Administración General del Estado y sus entidades de derecho público que deben garantizar:

1. La restricción del uso y acceso de los datos e informaciones en ellos contenido a las personas autorizadas.
2. La prevención de alteraciones o pérdidas delos datos e informaciones
3. La protección de los procesos informativos frente a manipulaciones no autorizadas.

En el artículo 5 trata sobre las aplicaciones que se encuentran sometidas a la aprobación que clarifica cuáles son:

• Los programas y las aplicaciones que efectúan tratamientos de información, con un resultado que puede ser utilizado para realizar un ejercicio de organismos y entidades del ámbito de la AGE para tener las potestades necesarias y el instrumental, entendiendo que aquellos que efectúen los tratamientos de información auxiliares o preparatorios de las decisiones administrativas no determinan directamente el contenido de éstas.

Durante la disposición adicional primera sobre “Atribuciones del Consejo Superior de Informática” se genera la aprobación y la difusión de los criterios en las aplicaciones reseñadas en el artículo 5.

Criterios de seguridad

Los criterios de seguridad son requisitos, criterios y recomendaciones utilizados para implementar las medidas de seguridad organizativas y técnicas en el diseño, desarrollo, implantación y explotación de las aplicaciones para realizar el ejercicio de potestades en los organismos de la Administración General del Estado.

Los criterios de seguridad se organizan en 19 bloques, en los que realizan una reseña a la seguridad que complementa a los niveles de medidas de seguridad definitivos por el Real Decreto 994/1999.

Los criterios pueden ser:

1. Gestión global de la Seguridad de la Información
2. Análisis y gestión de riesgos
3. Política de seguridad
4. Identificación y clasificación de activos que hay que proteger
5. Organización y planificación de la seguridad
6. Salvaguardas ligadas al personal
7. Seguridad física
8. Identificación y autentificación
9. Confidencialidad
10. Integridad
11. Disponibilidad
12. Control de acceso
13. Acceso a través de redes
14. Uso de técnicas criptográficas
15. Gestión y registro de incidencias
16. Plan de contingencia
17. Protección de soportes de información y copias de respaldo
18. Desarrollo y explotación de sistemas de gestión
19. Auditoría y control de la seguridad

Criterios de normalización

Los criterios de normalización son pautas a seguir para normalizar y facilitar la compatibilidad técnicas, disponibilidad, interoperabilidad y conformidad con la norma ISO-27001, prestando cierta atención a algunas salvaguardas como las infraestructuras de clave pública, que podemos ver en el marco normativo de los diferentes criterios.

Criterios de conservación

Los criterios de conservación son requisitos y recomendaciones para la conservación de la información en soporte electrónico en dichas aplicaciones. No se tratará en este documento el problema crucial de la conservación, para evitar que se mezclen con la integridad de la información como aspecto o característica de la seguridad y que como tal se tratará más adelante.

Software para ISO 27001

La Administración General del Estado tiene que asegurar a los ciudadanos que la información se encuentra perfectamente salvaguardada, para ello pueden utilizar un Sistema de Gestión de Seguridad de la Información basado en la norma ISO 27001. El Software ISO27001 ayuda a las administraciones públicas a implementar, mantener y mejorar sus Sistemas de Gestión de Seguridad de la Información.