Boletín Oficial de la Junta de Andalucía - Histórico del BOJA Boletín número 201 de 11/10/2007

La Consejería de Agricultura y Pesca para el ejercicio de las competencias que tiene asignadas cuenta con el apoyo de sistemas de información que facilitan el cumplimiento de las funciones atribuidas. Es un hecho constatable el uso cada vez más generalizado de los sistemas de información, así como las nuevas formas de relación con la ciudadanía, casi siempre apoyadas en tecnologías de la información, la administración electrónica y los nuevos medios telemáticos. La información, junto a los procesos y sistemas que hacen uso de ella, son activos muy importantes. Los sistemas de información están expuestos a un número cada vez más elevado de amenazas que pueden aprovechar vulnerabilidades existentes para someter activos críticos de información a diversas formas de fraude, espionaje, sabotaje o vandalismo, o también riesgo provocados por incidentes de seguridad causados voluntaria o involuntariamente desde dentro de la propia organización o aquellos provocados accidentalmente por catástrofes naturales. Son cada vez más los sistemas que requieren una mayor garantía de seguridad con objeto de asegurar el cumplimiento de la legalidad, tanto de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, como de las normas propias de cada sector.

Por otra parte, hay que tener en cuenta que mediante Acuerdo del Consejo de Gobierno de 24 de octubre de 2006, se designa y autoriza a la Consejería de Agricultura y Pesca como Organismo Pagador de los Fondos Europeos Agrícolas en Andalucía, previsto en el Reglamento (CE) núm. 1290/2005 del Consejo, de 21 de junio, sobre la financiación de la Política Agrícola Común, y en el artículo 2 del Real Decreto 521/2006, de 28 de abril, por el que se regula el régimen de los organismos pagadores y de coordinación de los Fondos Europeos Agrícolas.

Esa designación ha sido desarrollada por el Decreto 38/2007, de 13 de febrero, por el que se regula el Organismo Pagador y se designan el Organismo de Certificación y la Autoridad de Gestión de los Fondos Europeos Agrícolas en la Comunidad Autónoma de Andalucía. Concretamente, en su artículo 4.1.m) se establece que el Organismo Pagador deberá basar los sistemas de información en los criterios de la versión aplicable en el ejercicio financiero en cuestión de la norma ISO/IEC 17799 (Código de buenas prácticas para la gestión de la seguridad de los sistemas de información).

Ello responde al necesario cumplimiento de los criterios de autorización previstos en el Reglamento núm. 1290/2005 del Consejo, de 21 de junio de 2005, antes citado, y en el Reglamento (CE) núm. 885/2006 de la Comisión, de 21 de junio, por el que se establecen las disposiciones de aplicación del Reglamento (CE) núm. 1290/2005 del Consejo, en lo que se refiere a la autorización de los organismos pagadores y otros órganos y a la liquidación de cuentas del FEAGA y del FEADER. Esos criterios y condiciones se refieren a la autorización y ejecución de los pagos, la salvaguardia del presupuesto comunitario, la seguridad de los sistemas de información, la llevanza de los registros contables, la separación de las funciones y la idoneidad de los controles internos y externos, con respecto a las transacciones financiadas por el Fondo Europeo Agrícola de Garantía (FEAGA) y el Fondo Europeo Agrícola de Desarrollo Rural (FEADER).

No obstante, en el artículo 17 del citado Reglamento (CE) núm. 885/2006 de la Comisión, se establece un período de transición en lo tocante a la seguridad de los sistemas de información, de forma que hay que estar a la Directriz de seguridad informática VI/661/97 de los Organismos Pagadores, y previo a la conclusión de dicho período, el Organismo Pagador se ajustará a las Directrices de la Comisión Europea AGRI/2004/60334/01/00, sobre la seguridad de los sistemas de información de los organismos pagadores.

En otro orden de cosas, hay que tener en cuenta además la normativa aplicable en materia de seguridad en general y
de seguridad informática, aplicables en el ámbito de la Junta de Andalucía, relativa a la política informática, a la seguridad de edificios e instalaciones y al comportamiento de empleados públicos en el uso de sistemas informáticos. No obstante, para dar cumplimiento de la citada normativa comunitaria, y en concreto el Código de buenas prácticas para la gestión de la seguridad de los sistemas de información, resulta conveniente establecer los medios necesarios para garantizar la seguridad de la información y de los sistemas informáticos sobre los que se sustenta, y adoptar medidas de índole organizativas para dirigir y dar soporte a la gestión de la seguridad. Con este objetivo se dicta la presente Orden mediante la que se establecen normas de seguridad de los sistemas de información de la Consejería de Agricultura y Pesca.

En su virtud, a propuesta del Secretario General Técnico y del Director General del Fondo Andaluz de Garantía Agraria, y en ejercicio de las competencias que me confieren el Decreto 204/2004, de 11 mayo, por el que se establece la estructura orgánica de la Consejería de Agricultura y Pesca, y el artículo 44.2 de la Ley 6/2006, de 24 de octubre, del Gobierno de la Comunidad Autónoma de Andalucía,

DISPONGO

Artículo 1. Objeto.

La presente Orden tiene por objeto establecer normas relativas a la seguridad de la información en la Consejería de Agricultura y Pesca, y específicamente para la implantación de la norma ISO/IEC 17799 (Código de buenas prácticas para la gestión de la seguridad de la información).

Artículo 2. Ámbito de aplicación.

1. La presente Orden es aplicable a los sistemas de información de los que dispone la Consejería de Agricultura y Pesca en el ejercicio de las competencias que tiene atribuidas.

2. Asimismo afecta a todo el personal que preste sus
servicios en los órganos y centros directivos de los servicios centrales de la Consejería de Agricultura y Pesca, de sus Delegaciones Provinciales, de sus Oficinas Comarcales Agrarias y de sus centros periféricos.

Artículo 3. Medidas de seguridad.

1. Las medidas de seguridad, además de ajustarse a la normativa general en la materia aplicable en el ámbito de la Junta de Andalucía, se ajustarán al Código de buenas prácticas para la gestión de la seguridad de la información, contenido en la norma ISO/IEC 17799, el cual se implantará en todo caso respecto de los sistemas que soportan el ejercicio de competencias respecto de la gestión de los Fondos Europeos Agrícolas, y de forma progresiva con relación al resto de los sistemas de información en la medida en que los medios tecnológicos lo vayan permitiendo.

2. Las medidas necesarias en orden a garantizar la seguridad de la información mediante la aplicación de normas, procedimientos y controles asociados deberán permitir asegurar la confidencialidad, integridad y disponibilidad de la información esenciales para:

a) Cumplir con la legislación vigente en materia de seguridad de los sistemas de información.

b) Asegurar la confidencialidad de los datos gestionados por la Consejería de Agricultura y Pesca.

c) Asegurar la disponibilidad de los sistemas de información, tanto en los servicios ofrecidos a los ciudadanos como en la gestión interna.

d) Asegurar la capacidad de respuesta ante situaciones de emergencia, restableciendo el funcionamiento de los servicios críticos en el menor tiempo posible.

e) Evitar alteraciones indebidas de la información.

f) Promover la concienciación y formación en seguridad de la información.

3. Las medidas de seguridad se adaptarán a la estructura administrativa, al personal y al entorno tecnológico del Organismo Pagador, siendo el esfuerzo financiero y tecnológico proporcional a los riesgos reales existentes.

4. Los requisitos de seguridad, la implantación de los controles, así como la elaboración de normas sobre la seguridad de los sistemas de información se organizarán en función de los bloques temáticos que sean de aplicación de la norma ISO/IEC 17799.

Artículo 4. Desarrollo, seguimiento y coordinación de la seguridad de los sistemas de información.

1. El impulso, desarrollo y coordinación de las actuaciones en materia de seguridad de los sistemas de información corresponde a la Comisión de Seguridad de la Información, que se crea en el artículo 6 de la presente Orden.

2. Cada centro directivo de la Consejería de Agricultura y Pesca deberá velar por el cumplimiento de la normativa y medidas de seguridad en su ámbito y nombrará al menos una persona responsable de la seguridad de la información, correspondiendo a la Comisión antes referida coordinar las funciones de las distintas personas responsables y supervisar sus actuaciones.

Artículo 5. Difusión entre el personal.

1. Corresponde a la Comisión de Seguridad de la Información, que se crea en el artículo 6 de esta Orden, la adecuada difusión de las normas y de la documentación resultante del desarrollo de la seguridad de la información entre el personal de la Consejería de Agricultura y Pesca.

2. Cuando se detectare en el uso de los medios informáticos actuaciones irregulares, ilícitas o ilegales por parte del personal de la Consejería, se procederá al ejercicio de las acciones y adopción de medidas pertinentes para la exigencia de las responsabilidades que correspondan.

Artículo 6. Creación de la Comisión de Seguridad de la Información de la Consejería de Agricultura y Pesca.

Para garantizar la adopción e implantación de las políticas y planes de seguridad, coordinación del conjunto de medidas de seguridad tanto físicas como lógicas y de planes de contingencia, y velar por el cumplimiento de dichas normas, se crea, adscrita a la Secretaría General Técnica, la Comisión de Seguridad de la Información, como un órgano colegiado de propuesta y seguimiento en materia de seguridad de los sistemas de información en el ámbito de la Consejería de Agricultura y Pesca.

Artículo 7. Composición.

La Comisión de Seguridad de la Información tendrá la siguiente composición:

a) Presidencia: La persona titular de la Secretaría General Técnica de la Consejería de Agricultura y Pesca.

b) Vocalías: Las personas titulares de las siguientes Jefaturas de Servicio:

- Del Servicio de Informática de la Secretaría General Técnica.

- Del Servicio de Administración General de la Secretaría General Técnica.

- Del Servicio de Legislación y Recursos de la Secretaría General Técnica.

- Del Servicio de Proceso de Datos de la Dirección General del Fondo Andaluz de Garantía Agraria.

Asimismo formarán parte como vocales las personas titulares de los Servicios, de los Centros Directivos de la Consejería, que vayan a certificar o hayan certificado un sistema de información conforme a una norma estándar de seguridad de la información. Su designación se formalizará mediante resolución de la Presidencia de la Comisión de Seguridad.

c) Secretaría: Ejercerá la secretaría la persona titular de la Jefatura del Servicio de Contratación y Convenios de la Secretaría General Técnica, como miembro de la Comisión y con voz y voto.

Artículo 8. Funciones.

1. La Comisión de Seguridad de la Información tendrá las siguientes funciones:

a) Proponer la adopción, implantación y revisión de las medidas orientadas a garantizar la seguridad de la información en la Consejería de Agricultura y Pesca, y en su caso proponer la medidas procedentes.

b) Impulsar la implantación del Código de buenas prácticas para la gestión de la seguridad de los sistemas de información, contenido en la norma ISO/IEC 17799 respecto de los sistemas que soportan el ejercicio de competencias derivadas de la gestión de los Fondos Europeos Agrícolas, y determinar la aplicación progresiva en relación con el resto de los sistemas de información de las normas relativas a la seguridad de los sistemas de información en la Consejería de Agricultura y Pesca, y específicamente para la implantación de la norma ISO/IEC 17799 (Código de buenas prácticas para la gestión de la seguridad de los sistemas de la información).

c) Proponer la adopción, implantación y revisión de las medidas orientadas a garantizar la adecuación de los sistemas de información, bases de datos, y procedimientos a lo establecido en la Ley Orgánica de Protección de Datos, y demás leyes, normas o procedimientos que sobre estas materias puedan los organismos competentes emitir en un futuro.

d) Redactar, difundir y velar por el cumplimiento en el ámbito del organismo del Documento de Seguridad que se establece en el artículo 8 del Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de medidas de seguridad de los ficheros de datos de carácter personal.

e) Redactar, difundir y velar por el cumplimiento del documento de política de seguridad de la información al que se refiere la norma ISO/IEC 17799.

f) Evaluar de forma periódica el grado de exposición a riesgos que afecten a los sistemas de información y bases de datos de la Consejería, así como redactar los Planes de Contingencia que garanticen la disponibilidad de uso de éstos.

g) Proponer los proyectos y soluciones orientados a la mejora de la seguridad de la información en la Consejería.

2. La Comisión de Seguridad de la Información ejercerá la coordinación con los Centros Directivos y las Delegaciones Provinciales de la Consejería de Agricultura y Pesca en materia de seguridad informática. A tal efecto, la Comisión podrá convocar a los titulares de los Centros Directivos, como responsables de los ficheros de datos y sistemas de información propios de su ámbito de competencias, para ejercer el seguimiento del grado de implantación de las normativas de seguridad de la información en el ámbito de su Centro, así como velar por el cumplimiento de las mismas.

3. La Comisión será informada de las medidas que se adopten y de las acciones que, en su caso, se ejerzan para la exigencia de responsabilidad en caso de actuaciones irregulares, ilícitas o ilegales en el uso de los medios informáticos por parte del personal de la Consejería.

Artículo 9. Funcionamiento.

1. Con objeto de ejercer un seguimiento periódico del grado de implantación y cumplimiento de las políticas de seguridad de la información, la Comisión se reunirá con una periodicidad mínima de tres meses.

2. Podrán celebrarse reuniones extraordinarias que serán convocadas por la Presidencia, bien por iniciativa propia o a propuesta de cualesquiera de sus miembros.

Artículo 10. Régimen jurídico.

La Comisión de Seguridad de la Información se regirá por esta Orden y por el Capítulo II del Título II de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común.

Disposición adicional única. Constitución de la Comisión.

La primera reunión de la Comisión de Seguridad de la Información, que tendrá como objeto la constitución de la propia Comisión, se celebrará en un plazo no superior a diez días contados a partir del día siguiente al de la publicación de la presente Orden en el Boletín Oficial de la Junta de Andalucía.

Disposición derogatoria única. Derogación normativa.

Quedan derogadas y sin efecto cuantas disposiciones de igual o inferior rango se opongan a lo establecido en la presente Orden. Asimismo queda sin efecto la Orden de 31 de julio de 2002, de la Consejería de Agricultura y Pesca, mediante la que se establecen instrucciones relativas al procedimiento para la gestión de la seguridad informática y la adecuación a la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal en la Consejería de Agricultura y Pesca.

Disposición final primera. Desarrollo y ejecución.

Se faculta al Secretario General Técnico y al Director General del Fondo Andaluz de Garantía Agraria, en sus respectivos ámbitos de competencia, para dictar cuantas disposiciones sean necesarias para el desarrollo y ejecución de la presente Orden.

Disposición final segunda. Entrada en vigor.

La presente Orden entrará en vigor el día siguiente al de su publicación en el Boletín Oficial de la Junta de Andalucía.

Sevilla, 4 de octubre de 2007

Isaías Pérez Saldaña

Consejero de Agricultura y Pesca

Descargar PDF