Contenu non disponible en français
El Real Decreto 1552/2004, de 25 de junio, de estructura orgánica básica del Ministerio de Economía y Hacienda, establece en su artículo 12, apartado 1.i), que la Intervención General de la Administración del Estado es el órgano encargado de la planificación, diseño y ejecución de la política informática de la Secretaría General de Presupuestos y Gastos y de la Intervención General de la Administración del Estado, el soporte informático de las actividades y el asesoramiento, coordinación e instrumentación de los proyectos informáticos de sus órganos. Los sistemas de información y las bases de datos que en ellos se soportan constituyen un elemento básico para la gestión encomendada a la Secretaría General de Presupuestos y Gastos y a la Intervención General de la Administración del Estado, por lo que deben ser objeto de una especial protección a fin de que cumplan los requisitos de disponibilidad, integridad, confidencialidad y autenticidad precisos. En consecuencia, las funciones que puedan realizarse en los sistemas de información han de tratarse de forma que faciliten las elaboraciones específicas y concretas de gestión para las que han sido diseñadas, al mismo tiempo que quedan encuadradas en el marco general del control de accesos a la información que salvaguarde la integridad y la confidencialidad de los datos contenidos en los sistemas. El balance en la aplicación de la actual Resolución de la Secretaría de Estado de Presupuestos y Gastos, de 8 de julio de 2002, para el control de accesos a las bases de datos, puede calificarse de positivo, teniendo en cuenta que ha sentado las bases organizativas y técnicas para la instrumentación de la seguridad informática en el ámbito de la Administración presupuestaria. Sin embargo, la experiencia adquirida en su aplicación ha puesto de manifiesto la necesidad de cambiar el enfoque de alguno de sus apartados, de introducir algunas mejoras sobre determinados aspectos y de adaptar su contenido a la nueva estructura organizativa. Los objetivos perseguidos en esta nueva Resolución de control de accesos son fundamentalmente los siguientes:
Incorporar en los procedimientos de control de accesos aquellos elementos que faciliten la adecuación a la incesante evolución tecnológica en materia de seguridad informática.
Flexibilizar la aplicación de la Resolución en aquellos extremos en los que se han puesto de manifiesto ciertos rasgos de rigidez, en aras a una mayor agilidad y eficacia, sin detrimento de la seguridad. Adecuar la Resolución a la nueva estructura organizativa de la Administración presupuestaria surgida del Real Decreto 1552/2004 y a la normativa nacional de protección de datos de carácter personal.
Por todo ello, y de conformidad con lo dispuesto en el artículo 45.3 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, se hace preciso establecer los criterios de regulación de un sistema de control de accesos a los sistemas de información de la Secretaría General de Presupuestos y Gastos y de la Intervención General de la Administración del Estado que tenga en cuenta las orientaciones antes indicadas.
En su virtud, a propuesta de la Intervención General de la Administración del Estado y de la Secretaría General de Presupuestos y Gastos, he tenido a bien disponer:
Primero. Ámbito de aplicación.-La presente Resolución será de aplicación a toda la información contenida en cualquiera de los ficheros, organizados por un sistema gestor de bases de datos o en cualquier otra forma, que fueran objeto de tratamiento a través de los sistemas de información y aplicaciones informáticas de la Secretaría General de Presupuestos y Gastos y de la Intervención General de la Administración del Estado, en adelante bases de datos de la Administración Presupuestaria, regulando el acceso a dicha información con arreglo a las normas de la Ley Orgánica 15/1999, de 13 de diciembre, del Real Decreto 994/1999, de 11 de junio y de la Ley 47/2003, General Presupuestaria.
No se consideran dentro del ámbito de aplicación de esta Resolución las bases de datos accesibles a través del sitio web Intranet e Internet de la Administración Presupuestaria, cuando tengan carácter abierto a nivel corporativo de la propia Administración presupuestaria, así como las bases de datos generadas a través de las herramientas corporativas ofimáticas o análogas a disposición del usuario. Asimismo, no estarán incluidas en el ámbito de aplicación de esta Resolución las bases de datos de incentivos regionales, gestionadas por la Dirección General de Fondos Comunitarios, en tanto se mantenga su gestión informática autónoma. Segundo. Conceptos y su significado.-Sistemas de información: conjunto de datos, documentación, procedimientos y tratamientos informáticos, así como bases de datos, redes de comunicaciones y sistemas de interconexión, sistemas de control de accesos, personas, y ordenadores, periféricos y terminales instalados en los Servicios centrales y Organizaciones delegadas y territoriales de la Secretaría General de Presupuestos y Gastos y de la Intervención General de la Administración del Estado. Servicios centrales de la Secretaría General de Presupuestos y Gastos y de la Intervención General de la Administración del Estado: los centros directivos que constituyen las mismas. Organizaciones delegadas y territoriales: las unidades que tengan ese carácter y que dependan de los centros directivos de la Secretaría General de Presupuestos y Gastos y de la Intervención General de la Administración del Estado. Administración presupuestaria: ámbito funcional de la Secretaría General de Presupuestos y Gastos y de la Intervención General de la Administración del Estado. Servicios de Informática Presupuestaria: área de la Intervención General de la Administración del Estado encargada del desarrollo y ejecución de las actividades informáticas de la Administración presupuestaria. Red de Informática Presupuestaria: red corporativa de área extensa (WAN) de la Administración presupuestaria. Acceso a la red: acceso a los servicios de red. Tercero. Clasificación de los sistemas de información de la Administración presupuestaria.-Según la responsabilidad funcional de las bases de datos, los sistemas de información y aplicaciones informáticas de la Administración presupuestaria se clasificarán como:
a) Centralizadas, cuando la responsabilidad funcional es competencia de alguno de los centros directivos y el acceso a los datos no está limitado solo a los usuarios destinados en el centro directivo.
b) Departamentales, cuando la responsabilidad funcional es competencia de un centro directivo, o de una organización delegada o territorial, y el acceso a los datos está limitado a los usuarios destinados en las mismas. c) Externas, cuando la responsabilidad funcional está fuera del ámbito de competencia de la Administración presupuestaria.
Cuarto. Objeto.-El objeto de esta Resolución es establecer los criterios generales a los que debe responder la administración de la seguridad de los sistemas de información y definir el procedimiento de gestión para el acceso a los mismos en el ámbito de aplicación establecido en el apartado primero, tanto desde la propia red corporativa de Informática Presupuestaria como desde cualquier otro organismo público o privado con acceso autorizado. La seguridad cabe entenderla, a efectos de esta Resolución, en su acepción de control de los accesos a la red y a las bases de datos para garantizar la disponibilidad, integridad y confidencialidad de la información.
Estas instrucciones se aplicarán a todo el personal de la Administración presupuestaria, y a aquellas personas que no perteneciendo a la misma dispongan de acceso a sus bases de datos. Quinto. Agentes para la administración de la seguridad de la información.-La gestión de la seguridad de accesos a la red y a las bases de datos de la Administración presupuestaria requiere, además de la implicación activa de todos los usuarios de los sistemas de información, la existencia de un marco organizativo orientado a dicha gestión en el que desempeñarán un papel primordial los siguientes agentes:
a) Comité de Coordinación de la Seguridad de la Información.
b) Administrador corporativo de seguridad de la Información. c) Responsables de seguridad en los centros directivos, organizaciones delegadas o territoriales de la Administración presupuestaria, a los que en lo sucesivo esta Resolución se referirá como responsables de centro. d) Responsable de seguridad de los ficheros de los centros directivos, organizaciones delegadas o territoriales de la Administración presupuestaria, a los que en lo sucesivo esta Resolución se referirá como responsables de fichero. e) Administradores de la seguridad de acceso a las redes departamentales de cada uno de los centros directivos, organizaciones delegadas o territoriales de la Administración presupuestaria, a los que en lo sucesivo esta Resolución se referirá como Administradores de red. f) Administradores de la seguridad de acceso a las bases de datos de la red de Informática presupuestaria, a los que en lo sucesivo esta Resolución se referirá como Administradores de base de datos.
En el contexto de esta Resolución, los términos de Administrador de red y de base de datos tienen un carácter organizativo, de acuerdo con las funciones encomendadas en los apartados noveno y décimo, y no un significado informático.
Sexto. Comité de Coordinación de la Seguridad de la Información.-El Comité de Coordinación de la Seguridad es un órgano colegiado de carácter horizontal en materia de seguridad de la información para el ámbito de la Administración presupuestaria. Estará formado por:
a) El Coordinador de los servicios de Informática presupuestaria, que actuará como Coordinador del Comité.
b) El Subdirector general de Explotación de los servicios de Informática presupuestaria. c) El Administrador corporativo de seguridad de la información, cuyas funciones se establecen en el apartado siguiente. d) Los responsables de centro, previstos en el apartado octavo, designados por el titular de cada uno de los centros directivos de la Administración presupuestaria. e) Tres Interventores delegados en representación del conjunto de las Intervenciones delegadas en Ministerios y Organismos autónomos, Intervenciones regionales y territoriales, designados por el Interventor general de la Administración del Estado.
El Comité de Coordinación de la Seguridad de la información podrá convocar a representantes de Unidades organizativas externas que accedan a bases de datos de la Administración presupuestaria.
A este Comité de Coordinación, que se reunirá al menos dos veces al año, le corresponderá establecer las directrices, normas y actuaciones de orden organizativo y técnico que sean precisas en desarrollo de lo dispuesto en esta Resolución, dirigidas a garantizar la disponibilidad, integridad y confidencialidad de la información en la red de Informática presupuestaria, todo ello sin perjuicio del ejercicio de las competencias decisorias por los órganos superiores o directivos del Departamento que las tengan atribuidas. Séptimo. Administrador corporativo de seguridad de la información.-El Administrador corporativo de seguridad de la información aplicará las medidas de seguridad a las bases de datos de la Administración presupuestaria de acuerdo con las directrices marcadas por el Comité de Coordinación de la Seguridad de la Información. Será designado por el Comité de Coordinación de la Seguridad de la información a propuesta del Coordinador de Informática Presupuestaria y actuará de secretario del Comité. El diseño, construcción, implantación y mantenimiento de las instrucciones, procedimientos y herramientas que, en aplicación de lo dispuesto en esta Resolución, se desarrollen para la administración de la seguridad de la red y de las bases de datos corresponderá a los servicios de Informática Presupuestaria bajo la iniciativa y coordinación del Administrador corporativo de seguridad de la información, que las pondrá en conocimiento de los Responsables de los centros directivos u organizaciones delegadas o territoriales de la Administración presupuestaria, de los Administradores de red y de base de datos y, en general, las difundirá a todo el ámbito de aplicación. Octavo. Responsables de centro.-A efectos de esta Resolución se considera responsable de centro a la persona que designe el titular del centro directivo o al titular de la organización delegada o territorial de la Administración presupuestaria. Este responsable de centro asumirá, en materia de seguridad de la información, las funciones y obligaciones que se indican a continuación:
a) Adoptará las medidas necesarias para el cumplimiento, en su ámbito de competencia, de las normas, instrucciones y procedimientos que, en aplicación de lo establecido en esta Resolución, se desarrollen para la administración de la red y de las bases de datos de la Administración presupuestaria.
b) Adoptará las medidas necesarias para que el personal de su ámbito de competencia conozca las normas y procedimientos de seguridad que afecten al desarrollo de sus funciones. c) Designará a un Administrador único de red y a los suplentes que considere precisos. No obstante, en el caso de los centros directivos, la designación del Administrador de red podrá efectuarse, si la estructura así lo aconseja, a nivel de Subdirección General o de ubicaciones administrativas diferentes. d) Designará a los Administradores de base de datos de su ámbito de competencia. e) Autorizará el acceso de usuarios a la red departamental y a las bases de datos de su centro. Asimismo, comunicará la anulación de los accesos permitidos a la red departamental y a las bases de datos de su propio centro. Quién ostente la función de autorización de accesos a una base de datos actuará así mismo como responsable de fichero en los términos del Real Decreto 994/1999 o designará a dicho responsable. f) Solicitará el acceso de su personal a las bases de datos de la Administración presupuestaria, distintas de aquellas residentes en su centro, que se requiera para el ejercicio de las funciones encomendadas. g) Solicitará el acceso de su personal a bases de datos externas al ámbito de la Administración presupuestaria, cuando se requiera para el ejercicio de las funciones encomendadas. En los centros directivos, las funciones d), e), f), y g) podrán ser desempeñadas por los Subdirectores Generales, asimilados o adjuntos, respecto a las redes, bases de datos y ámbito de personal de su respectiva competencia. Para tales funciones, y a los efectos de esta Resolución, dichos Subdirectores serán considerados como responsables de centro.
Noveno. Administrador de red departamental.-Cada Administrador de red será el responsable de la aplicación, en su ámbito de actuación, de la presente Resolución y de las instrucciones y procedimientos que en materia de gestión de red y del control de accesos a la misma se desarrollen. Para esta misión el Administrador de red actuará de acuerdo con las instrucciones, procedimientos y herramientas de carácter técnico que establezcan los servicios de Informática Presupuestaria.
Las funciones y obligaciones del Administrador en materia de gestión de red y control de accesos a la misma, serán:
a) Instrumentar las solicitudes de acceso a la red de los nuevos usuarios autorizados.
b) Realizar el mantenimiento y actualización del inventario de usuarios con acceso permitido a la red departamental. c) Obtener periódicamente, a través de los medios puestos a su disposición por los servicios de Informática Presupuestaria, estadística de accesos realizados por los usuarios de la red departamental a los sistemas de información. d) Mantener y custodiar la información necesaria sobre la autorización y denegación del acceso de cada uno de los usuarios a la red (puesto de trabajo, responsable de la autorización y anulación de los accesos, fecha de autorización o denegación,.), al menos durante 2 años. e) Informar de los incidentes relativos a la seguridad de control de accesos, según los procedimientos establecidos para tal fin.
Décimo. Administrador de base de datos.-Cada base de datos, correspondiente a un sistema de información o aplicación informática, tendrá asignado un Administrador de base de datos cuya designación corresponderá a:
a) En caso de base de datos centrales, al responsable del centro directivo al que competa la naturaleza funcional del sistema de información o aplicación informática. No obstante, si el responsable de centro ha nombrado responsable de fichero de la base de datos, será el responsable de fichero el que nombre al administrador de la misma.
Cuando el contenido de la base de datos central sea el resultado de una gestión descentralizada, el responsable del centro competente, o el responsable de fichero nombrado por él, podrá designar responsable delegado de autorización de accesos, por cada unidad u oficina de gestión que participe. Estos responsables delegados designarán al correspondiente Administrador de base de datos. Cuando se trate de productos o aplicaciones informáticas de utilización general en todo el entorno de la Administración presupuestaria, sin adscripción funcional, el Administrador de base de datos será designado por el Coordinador de los servicios de Informática Presupuestaria. b) En el caso de bases de datos departamentales, al responsable del centro directivo u organización delegada o territorial en la que residan. c) En el caso de bases de datos externas, al Coordinador de los servicios de Informática Presupuestaria.
El Administrador de base de datos será el responsable de la aplicación de la presente Resolución y de las instrucciones y procedimientos que, en materia de control de accesos a las bases de datos, se desarrollen. Para esta misión el Administrador de base de datos actuará de acuerdo con las instrucciones, procedimientos y herramientas de carácter técnico que establezcan los servicios de Informática Presupuestaria.
Por tanto, las funciones y obligaciones del Administrador de base de datos serán:
a) Instrumentar y gestionar las altas, bajas y el mantenimiento de autorizaciones de acceso a los usuarios de las bases de datos y, en algunos casos, de las funciones permitidas (por ejemplo, asignación de perfiles de acceso).
b) Instrumentar y gestionar el acceso de los usuarios externos a las bases de datos de la red de Informática presupuestaria, previa comunicación a la Unidad de los servicios de Informática Presupuestaria designada a tal efecto, cuando proceda. c) Mantener y custodiar la información necesaria sobre la autorización o denegación del acceso de los usuarios a la base de datos, al menos durante 2 años. d) Obtener periódicamente, mediante los medios puestos a su disposición por los servicios de Informática Presupuestaria, estadística de los accesos realizados por los usuarios a las bases de datos centrales y departamentales administradas por él. Cuando se trate de bases de datos o ficheros con datos de carácter personal, a los que resulten de aplicación las medidas de seguridad de nivel alto del Real Decreto 994/1999, el Administrador de base de datos, central o departamental, obtendrá un informe mensual de los accesos y operaciones realizadas por los usuarios del sistema identificando, como mínimo, el usuario, fecha y hora en que se realizó el acceso, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado. e) Informar de los incidentes relativos a la seguridad según los procedimientos establecidos para tal fin.
Undécimo. Control de acceso a la red y a las bases de datos.-El acceso a la red y los sistemas de información de la Administración presupuestaria se articulará sobre un conjunto de procedimientos integrados que se indican a continuación:
a) Todas las estaciones de trabajo de la red de informática presupuestaria, con carácter general y sin perjuicio de las excepciones que se autoricen, se configurarán de acuerdo con el procedimiento técnico de integración de sistemas de los servicios de informática presupuestaria (ISIP).
b) Todo usuario de los sistemas de información de los servicios de informática presupuestaria tendrá asignado un perfil de acceso, instrumentado sobre medios informáticos, entendiendo como tal el catálogo de sistemas de información o aplicaciones informáticas a los que puede acceder. La asignación del perfil de acceso solamente se producirá después de haber introducido una palabra de paso de identificación personal (PIP), asociada al código identificativo del usuario lógico que accede al sistema, de forma que todo usuario autorizado a acceder a la red quede debidamente identificado y autenticado. c) El perfil de acceso o el escritorio informático personalizado de cada usuario vendrá determinado por el conjunto de las autorizaciones de acceso otorgadas a un mismo usuario por los Administradores de red o de bases de datos. d) Todos los sistemas de información que se consideren críticos en materia de seguridad, o que contengan ficheros con datos de carácter personal, dispondrán de una administración que permita asignar perfiles específicos de acceso para evitar que se acceda a datos o recursos con derechos distintos de los autorizados. Asimismo, los sistemas de información que contengan ficheros con datos de carácter personal a los que se asigne nivel de seguridad medio o alto, según lo establecido en el Real Decreto 994/1999, dispondrán de un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado. Adicionalmente se limitará la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de información. e) La comunicación de las autorizaciones de acceso a la red y a las bases de datos efectuada por los responsables de centro con destino a los correspondientes Administradores de red y de base de datos, y, en general, las comunicaciones relativas a la administración de los accesos a la red y a las bases de datos realizadas entre los distintos agentes para la administración de la seguridad, se establecerán mediante un sistema de correo electrónico, que permita garantizar la autenticidad del origen y destino del mensaje, así como la integridad del mismo. De todos los envíos y recepciones de información relativa a la administración de los accesos a la red y a las bases de datos, con el resto de agentes para la administración de la seguridad, se guardará una copia en un buzón único, al efecto de constituir un registro histórico de control del acceso a la red y a las bases de datos de la Administración presupuestaria. f) La integridad y actualización consistente de este registro histórico de control de accesos, así como su explotación, estarán a cargo del Administrador corporativo de seguridad de la información.
Duodécimo. Integración de sistemas de los servicios de informática presupuestaria (ISIP).-Con objeto de garantizar una configuración normalizada de todas las estaciones de trabajo de la red corporativa de informática presupuestaria, con carácter general y sin perjuicio de las excepciones que se autoricen, su instalación se ajustará al procedimiento técnico de integración de sistemas de los servicios de informática presupuestaria (ISIP) que garantizará:
a) El control normalizado de acceso a la red mediante la identificación personalizada, en el arranque del puesto de trabajo, a través del identificativo lógico de usuario y de la introducción de una palabra de paso personal (PIP) asociada.
b) La configuración del escritorio personalizado del puesto de trabajo, integrado por el conjunto de sistemas de información a los que el usuario del mismo puede acceder. c) La distribución del «software» al puesto de trabajo y, en su caso, al servidor departamental. d) Que en los puestos de trabajo y, en su caso en el servidor departamental, el «software» instalado es el autorizado en los servicios de Informática presupuestaria.
Decimotercero. Autorización de acceso a la red.-El alta inicial de un nuevo usuario, para acceder a la red departamental que le corresponda, requerirá la autorización del responsable del centro directivo u organización delegada o territorial, dirigida al Administrador de la red, a quien competerá instrumentar dicha alta. La comunicación de la autorización se realizará por correo electrónico y en ella se indicará, obligatoriamente, el NIF, el nombre y apellidos de la persona para la que se solicita el acceso, el puesto de trabajo que ocupa y un teléfono de contacto.
Asimismo, el responsable del centro directivo u organización delegada o territorial, comunicará puntualmente al Administrador de la red, a través de correo electrónico, las revocaciones de las autorizaciones vigentes a favor del personal que deje de prestar sus servicios en el ámbito organizativo que corresponde a dicha red departamental o que, continuando prestando servicios en la Organización, no precisen disponer de acceso a la red. Decimocuarto.-Tramitación de acceso a la red.-El Administrador de la red tramitará la solicitud de acceso a la red. Una vez efectuada el alta de usuario, el Administrador de la red comunicará al nuevo usuario su identificativo lógico y una palabra de paso de identificación personal (PIP), de carácter inicial. Esta PIP deberá ser necesariamente renovada por el usuario, generando otra distinta, al producirse el primer acceso, después de haber contabilizado un número determinado de accesos a la red y, en todo caso, transcurridos el número de días que se establezca por la Intervención General de la Administración del Estado. Asimismo el usuario podrá generar, en cualquier momento, una nueva PIP que sustituya a la anterior. El sistema informático registrará la PIP de forma criptografiada, de tal manera que no sea posible su lectura. Asimismo, con la información recibida del responsable del centro directivo u organización delegada o territorial, el Administrador de la red gestionará, con puntualidad, las bajas de los correspondientes identificativos lógicos de usuario. El Administrador de red será responsable del mantenimiento y actualización del inventario de usuarios con acceso permitido a la red departamental y de la custodia y almacenamiento de la información necesaria para la autorización de cada uno de ellos: Identificación de la persona y puesto de trabajo que ocupa; responsable jerárquico que concedió la autorización y fecha de la misma; responsable jerárquico que autorizó su anulación y motivo de la misma. El Administrador de red deberá archivar los correos enviados de notificación de habilitación de acceso al responsable del centro directivo, organización delegada o territorial y al usuario. El envío y recepción de información relativa a la administración de los accesos a la base de datos, con el resto de agentes para la administración de la seguridad, y la copia de cada uno de estos intercambios de información al buzón único de seguridad se realizarán, según establece el apartado undécimo e), mediante un sistema de correo electrónico. Decimoquinto. Solicitud de acceso a base de datos.-La solicitud de acceso a una base de datos será dirigida a quien, según el apartado octavo, corresponde la autorización de acceso, por el responsable jerárquico superior del usuario para el que se solicita el acceso, que, en el caso de servicios centrales, tendrá categoría mínima de Subdirector general, asimilado o adjunto y, en el supuesto de tratarse de organizaciones delegadas o territoriales, será el máximo responsable de la organización. En esta solicitud se indicarán los usuarios, con su identificativo, para los que se propone el acceso, el sistema de información a acceder, el perfil de acceso requerido, una justificación debidamente fundamentada, la ubicación y una persona de contacto. Asimismo, se indicará la fecha propuesta para el alta y la fecha de caducidad, en su caso, para dicho acceso. No obstante lo anterior, cuando el usuario que requiere el acceso a la base de datos pertenezca al mismo Centro al que compete la administración funcional de la base de datos, la solicitud de acceso será dirigida directamente al correspondiente Administrador de base de datos por el responsable jerárquico superior del usuario, para el que se requerirá la misma categoría indicada en el párrafo anterior. Decimosexto. Autorización y tramitación de acceso a base de datos.-La autorización, en su caso, de la solicitud de acceso a la base de datos será dirigida por el responsable de centro o por el responsable de fichero al que corresponda la administración funcional de la base de datos al Administrador de base de datos. Esta comunicación se realizará por correo electrónico, sin perjuicio de la remisión adicional de la documentación constitutiva de la solicitud. Corresponde al Administrador de base de datos la instrumentación de la autorización o denegación de acceso y su notificación al usuario. No obstante, conforme a lo señalado en el apartado anterior, cuando la solicitud se refiera a un usuario que pertenezca al mismo Centro al que compete la administración funcional de la base de datos, no será precisa la expresa autorización del responsable de centro correspondiente, actuando el Administrador de base de datos conforme a los criterios generales de autorización que establezca el responsable de centro. Por tanto, se responsabilizará el Administrador de base de datos de la gestión del alta, baja y mantenimiento de autorizaciones de acceso al sistema de información, así como de la asignación de perfiles de acceso, cuando según el apartado siguiente haya de efectuarse, que deberán corresponderse con las necesidades concretas de gestión. Asimismo dicho Administrador procederá, a iniciativa propia, a la depuración de las autorizaciones de acceso al sistema de información, habilitando los procedimientos necesarios para disponer la caducidad de las autorizaciones de acceso cuando fuera procedente a juicio del Administrador, o cuando se dieran las circunstancias que aconsejaran tal medida, notificando dicha actuación al responsable jerárquico del usuario afectado. El Administrador de base de datos deberá archivar, al menos durante dos años, el correo recibido, en su caso, del responsable de centro, junto con la documentación constitutiva de la solicitud, así como los correos de notificación de habilitación de acceso enviados a dicho responsable de centro, al responsable jerárquico superior del usuario y al usuario afectado. El envío y recepción de información relativa a la administración de los accesos a la base de datos, con el resto de agentes para la administración de la seguridad, y la copia de cada uno de estos intercambios de información al buzón único de seguridad se realizarán, según establece el apartado undécimo e), mediante un sistema de correo electrónico. Decimoséptimo. Acceso a sistemas de información críticos en materia de seguridad.-En aquellos sistemas de información críticos en materia de seguridad, o que contengan ficheros con datos de carácter personal, el respectivo Administrador de base de datos podrá requerir en el formulario de solicitud, las funciones o/y el dominio de datos a los que se propone acceder por parte del usuario para el que se formula la misma. En estos casos, el usuario autorizado accederá exclusivamente a las funciones y al dominio de datos expresamente indicados por el correspondiente Administrador de base de datos. Asimismo, cuando así se precise, y en todo caso, cuando se acceda a ficheros que contengan datos de carácter personal a los que se asignen nivel medio o alto de seguridad, se requerirá la introducción de una palabra de paso adicional, específica para el sistema de información. No obstante, con el objeto de seguir reforzando la seguridad en los accesos a los mismos, la medida mencionada podrá ser sustituida por otras, como por ejemplo, el uso de certificados en tarjeta criptográfica. Decimoctavo. Acceso de usuarios externos a la red de informática presupuestaria.-El acceso de usuarios ajenos a la red de informática presupuestaria, en los términos señalados en esta Resolución, a los sistemas de información de la Administración presupuestaria se ajustará a los criterios anteriormente expuestos con las adaptaciones que se indican a continuación. Con carácter general, estos usuarios, cuando sean autorizados para acceder a bases de datos de la Administración presupuestaria no precisarán que sus estaciones de trabajo estén configuradas bajo el procedimiento técnico de integración de sistemas de los servicios de informática presupuestaria (ISIP). La solicitud de acceso a la base de datos deberá ser enviada por el usuario de acuerdo con el procedimiento técnico que establezcan los Servicios de Informática presupuestaria. El destinatario de la solicitud será el responsable del centro al que corresponda la administración funcional de la base de datos, o en caso de que se haya nombrado responsable del fichero, éste último. En el supuesto de autorizar el acceso solicitado, el responsable de centro o el responsable del fichero, comunicará dicha autorización y los términos de la misma al correspondiente Administrador de base de datos, quien, con carácter previo a su instrumentación, la comunicará, cuando proceda, a la unidad designada de los servicios de informática presupuestaria quién coordinará con el Administrador de base de datos anteriormente indicado la operatividad del acceso concedido. En la solicitud de acceso dirigida al responsable de centro, o al responsable funcional, se indicará obligatoriamente el NIF, el usuario o usuarios para los que se propone el acceso, el sistema de información a acceder, el perfil de acceso requerido, una justificación debidamente fundamentada, la ubicación y una persona de contacto, con su teléfono y dirección de correo electrónico. Asimismo, se hará constar la fecha propuesta para el alta y la fecha de caducidad, en su caso, para dicho acceso. El identificativo lógico de usuario asignado a un usuario externo tendrá una vigencia máxima de doce meses, debiendo ser expresamente renovado una vez transcurrido dicho período, a instancia del órgano en que preste servicio el usuario. Los usuarios externos que fueran autorizados a acceder a sistemas de información de la Administración presupuestaria se dotarán a sí mismos con los medios técnicos y cumplimentarán y respetarán los procedimientos establecidos en esta Resolución. En caso de incumplimiento de esta normativa sobre accesos, el Administrador de base de datos podrá proponer la revocación de las autorizaciones concedidas a las que se refiere este apartado. Decimonoveno. Acceso a bases de datos externas.-Cuando la base de datos a la que se desea acceder resida fuera del entorno de la red corporativa de Informática presupuestaria (base de datos de la AEAT; de la Seguridad Social,.), facilitándose a través de dicha red la conexión a la base de datos externa, sin perjuicio de observar los requerimientos de seguridad y control de accesos específicos del dominio externo al que se accede, actuará como Administrador de acceso a dicha base de datos, a efectos de esta Resolución, la persona que designe el Coordinador de los servicios de Informática presupuestaria. Vigésimo. Notificación y gestión de las incidencias.-Los Administradores de red y de base de datos comunicarán inmediatamente cualquier anomalía o irregularidad detectados en los mecanismos adoptados para garantizar la seguridad en el control de accesos, a través del sistema de información establecido para la notificación y gestión de incidencias. Todas las anomalías o irregularidades detectadas en el control de accesos se considerarán «incidentes de seguridad», por tanto:
a) Se registrará la incidencia en el sistema de información citado, aplicando el procedimiento desarrollado al efecto.
b) El Administrador corporativo de seguridad de la información generará correo de notificación de la incidencia detectada en el control de accesos, dirigido al responsable del centro directivo u organización delegada o territorial del cual depende el Administrador de red o base de datos que detectara la incidencia en cualquiera de los mecanismos adoptados para garantizar la seguridad en el control de accesos. c) El Administrador corporativo de seguridad de la información realizará un seguimiento exhaustivo de la incidencia hasta su resolución. d) Tras la resolución de la incidencia se procederá al cierre de la misma por el Administrador corporativo de seguridad de la información. La incidencia pasará a formar parte del registro histórico de incidencias de seguridad. e) El Administrador corporativo de seguridad de la información generará correos de notificación de cierre de la incidencia, dirigidos al Administrador de red o base de datos que detectara la incidencia en cualquiera de los mecanismos adoptados para garantizar la seguridad en el control de accesos y al responsable del centro directivo u organización delegada o territorial del cual dependa.
Vigésimo primero. Auditoría del procedimiento de control de accesos.-El Administrador corporativo de seguridad de la información promoverá la realización de auditorías sobre la aplicación del procedimiento de control de accesos y acerca del propio procedimiento, al menos, cada dos años.
El informe de auditoría deberá dictaminar sobre la adecuación de las medidas y controles al Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal (Real Decreto 994/1999), identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias. Deberá, igualmente, incluir los datos, hechos y observaciones en que se basen los dictámenes alcanzados y recomendaciones propuestas. La auditoría verificará cada uno de los ficheros de datos de carácter personal, soportados dentro de la red de informática presupuestaria, a los que correspondan la aplicación de medidas de seguridad de niveles medio o alto. Vigésimo segundo. Confidencialidad de la información.-Los datos e informaciones contenidas en las bases de datos de la Administración presupuestaria, cualquiera que sea su soporte, serán de uso exclusivamente reservado para el cumplimiento de los fines que le atribuye el ordenamiento jurídico. Las autoridades, funcionarios públicos y demás personal al que resulte de aplicación esta Resolución y que por razón de su cargo o función tuviesen conocimiento de los datos o informaciones a que se refiere el párrafo anterior, están obligados a guardar sigilo riguroso y observar estricto secreto respecto de los mismos. El personal autorizado sólo deberá acceder a las bases de datos cuando deba conocer determinada información por razones del servicio, debiendo abstenerse de hacerlo por cualquier otra motivación. La salida de soportes informáticos que contengan información de las bases de datos de la Administración presupuestaria, únicamente podrá ser autorizada por el responsable de centro. Vigésimo tercero. Responsabilidades.
a) Cada usuario deberá conocer y aplicar, en su ámbito de actuación, la presente Resolución, así como las normas, instrucciones y procedimientos que en materia de control de accesos a la red y bases de datos de la Administración presupuestaria se establezcan.
b) Cada usuario, debidamente autorizado, adquiere el compromiso de utilización de las bases de datos con los fines exclusivos de gestión para los que ha sido autorizado. Asimismo, será responsable de todos los accesos que se realicen mediante el uso de su código de identificación lógica de usuario y su correspondiente palabra de identificación personal. A tal fin deberá mantener la custodia y secreto de la indicada PIP, así como vigilar posibles usos ajenos, denunciando cualquier trasgresión. En ningún caso deberá facilitarse el código de usuario ni la palabra de identificación personal a otra personas, ni deberá accederse a las bases de datos utilizando códigos y PIP ajenos, incluso mediando el consentimiento del usuario titular. c) El cese de un usuario en el puesto de trabajo por cualquier causa determinará el cese automático como usuario, a cuyo efecto, tan pronto como se produzca el cese en el puesto, el responsable jerárquico superior que, en el caso de servicios centrales, tendrá categoría mínima de Subdirector general, asimilado o adjunto y, en el supuesto de tratarse de organizaciones delegadas o territoriales, será el máximo responsable de la organización, lo comunicará al Administrador de la red y, a través de éste, a los Administradores de base de datos que corresponda según su perfil. Cuando se trate de un usuario externo al ámbito de la Administración presupuestaria, su cese será comunicado, por el responsable jerárquico que efectuó la solicitud, al Administrador de base de datos, quien coordinará con la unidad designada de los servicios de informática presupuestaria la instrumentación de la baja correspondiente. d) El acceso a la información de las bases de datos de la Administración presupuestaria por un usuario no autorizado, la realización de transacciones informáticas que no estén relacionadas con un objetivo concreto de gestión, la asignación de perfiles de utilización a otras personas para el uso de transacciones no necesarias para la gestión que tengan encomendada, o la revelación o falta de diligencia en la custodia y secreto de su código de usuario y palabra de identificación personal darán lugar a la exigencia de las responsabilidades administrativas o de otra naturaleza en que se hubiese podido incurrir. En el supuesto en que las actuaciones señaladas en el párrafo anterior hubiesen sido cometidas por un funcionario público, las mismas podrán dar lugar a la incoación del oportuno expediente disciplinario a tenor de lo previsto en los artículos 6, 7 y 8 del Reglamento de Régimen Disciplinario de los Funcionarios de la Administración del Estado, aprobado por Real Decreto 33/1986, de 10 de enero. De igual modo, las conductas señaladas en los párrafos anteriores darán lugar a la supresión de las autorizaciones previamente concedidas por quien las hubiera otorgado en su momento. Vigésimo cuarto. Medios.-Los servicios de informática presupuestaria de la Intervención General de la Administración del Estado establecerán, en el ámbito de la Administración presupuestaria, los procedimientos, aplicaciones, programas, utilidades y medios necesarios para facilitar el cumplimiento de la presente Resolución. Vigésimo quinto. Período de adaptación.-La adaptación de los procedimientos, aplicaciones, programas, utilidades y medios a lo dispuesto en esta Resolución se llevará a cabo en el período de doce meses desde la entrada en vigor de la misma. Vigésimo sexto. Desarrollo para su aplicación.-Se faculta a la Intervención General de la Administración del Estado para resolver cuantas consultas de índole específica puedan plantearse en la aplicación de la presente Resolución, así como para dictar normas internas para su aplicación. Vigésimo séptimo. Disposición transitoria.-Mientras no esté disponible el nuevo procedimiento mediante el que un usuario externo pueda directamente solicitar autorización o revocación de acceso a las bases de datos de la Administración Presupuestaria, seguirá en vigor el apartado Decimoséptimo, relativo al acceso de usuarios externos a la red de informática presupuestaria, de la Resolución de la Secretaría de Estado de Presupuestos y Gastos, de 8 de julio de 2002. Las solicitudes de acceso que se tramiten durante este periodo transitorio, utilizando los formularios publicados en la dirección de Internet de la Administración Presupuestaria, se gestionarán según se indicaba en el mencionado apartado decimoséptimo. Vigésimo octavo. Derogación normativa.-Queda derogada la Resolución de 8 de julio de 2002, de la Secretaría de Estado de Presupuestos y Gastos, para el control de accesos a las bases de datos de la Secretaría de Estado.
Vigésimo noveno. Entrada en vigor.-La presente Resolución entrará en vigor el día siguiente de su publicación en el «Boletín Oficial del Estado».
Madrid, 24 de mayo de 2005.-El Secretario de Estado de Hacienda y Presupuestos, Miguel A. Fernández Ordóñez.
Agence d'État Bulletin Officiel de l'État
Av. Manoteras, 54 - 28050 Madrid