3. Otras disposiciones. . (2025/77-45)
Resolución de 16 de abril de 2025, de la Oficina Andaluza contra el Fraude y la Corrupción, por la que se da publicidad a las normas que regulan la política de seguridad de la información en la institución, prevista por el Esquema Nacional de Seguridad.
17 páginas totales
Página
Zahoribo únicamente muestra información pública que han sido publicada previamente por organismos oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
Número 77 - Jueves, 24 de abril de 2025
página 5734/9
h) Mínimo privilegio. Los sistemas y aplicaciones se diseñarán y construirán otorgando
los mínimos privilegios necesarios para el correcto desempeño de funciones del usuario:
Seguridad por defecto, de tal forma que:
○ El sistema ofrecerá la funcionalidad imprescindible para que la organización alcance
sus objetivos. Cualquier función que no sea de interés o innecesaria será deshabilitada o
no implementada.
○ La operación, administración y registros de actividad serán las mínimas necesarias,
asegurando que solo serán desarrolladas por personas autorizadas y desde equipos
y emplazamientos autorizados, pudiendo incluir restricciones de horario y puntos de
acceso facultados, en su caso.
○ Cualquier función que no sea de interés o innecesaria será deshabilitada o no
implementada. El uso del sistema ha de ser sencillo y seguro, de tal forma que el uso
inseguro requiera de actos conscientes por parte del usuario.
La seguridad estará presente desde la concepción de un sistema o aplicación
y permanecerá presente durante todo su ciclo de vida. En la concepción de un nuevo
sistema o aplicación, o modificación sustancial de un sistema o aplicación existente, se
contará siempre, y desde el inicio, con la participación del Responsable de la Información
y del Servicio, del Responsable de Seguridad de la Información y del Delegado o
Delegada de Protección de Datos.
i) Integridad y actualización del Sistema. La inclusiones o modificaciones de elementos
físicos o lógicos en el registro de activos del sistema requerían de autorización previa.
Del mismo modo, se evaluará y monitorizará, permanentemente los sistemas para que,
atendiendo a las deficiencias de configuración, las vulnerabilidades identificadas y las
actualizaciones, se adecue el estado de seguridad y se puedan detectar tempranamente
posibles incidentes de seguridad.
j) Protección de la información almacenada y en tránsito. Se protegerán los entornos
que contienen información almacenada y en tránsito entre entornos inseguros. En este
sentido se protegerán convenientemente los equipos portátiles que puedan contener
información, así como los soportes extraíbles (pendrives, discos duros extraíbles, etc.).
En el caso de la existencia de una normativa de protección de la información, más
restrictiva, se dará cumplimiento a la misma. Esta normativa puede ser interna o externa.
k) Prevención ante otros sistemas de información interconectados. Se desplegarán
las protecciones necesarias para proteger el perímetro de la red corporativa de la OAAF,
de forma que se neutralicen las posibles intrusiones procedentes del exterior, ya sea
iniciadas malintencionadamente por terceros o como consecuencia de la interconexión
con sistemas de terceros.
l) Registro de actividad. Los sistemas y aplicaciones generarán los registros de
actividad necesarios para conocer la actividad en los sistemas, de forma que se pueda
determinar en todo momento qué persona actúa, sobre qué datos, con qué operaciones y
sus privilegios de acceso.
m) Incidentes de seguridad. La OAAF definirá e implantará procedimiento de gestión
de incidentes de seguridad que asegure la correcta gestión y respuesta para mitigar o
minimizar el impacto del incidente. procedimiento de comunicación, gestión y respuesta a
incidentes de seguridad contemplará la comunicación y notificación de los incidentes a las
correspondientes autoridades de control, en su caso, de acuerdo con la legislación vigente.
n) Continuidad de la actividad. Los sistemas dispondrán de copias de seguridad y se
establecerán los mecanismos que fuesen necesarios para garantizar que la Organización
pudiese continuar con las operaciones.
o) Mejora continua del proceso de seguridad. Se deberá establecer un Sistema
de Gestión de la Seguridad que permita conocer en cada momento el estado de la
seguridad, mediante la definición y medida de indicadores, y permita tomar las decisiones
informadas pertinentes para cumplir los requisitos de seguridad establecidos.
Depósito Legal: SE-410/1979. ISSN: 2253-802X
https://www.juntadeandalucia.es/eboja
00319334
BOJA
Boletín Oficial de la Junta de Andalucía
página 5734/9
h) Mínimo privilegio. Los sistemas y aplicaciones se diseñarán y construirán otorgando
los mínimos privilegios necesarios para el correcto desempeño de funciones del usuario:
Seguridad por defecto, de tal forma que:
○ El sistema ofrecerá la funcionalidad imprescindible para que la organización alcance
sus objetivos. Cualquier función que no sea de interés o innecesaria será deshabilitada o
no implementada.
○ La operación, administración y registros de actividad serán las mínimas necesarias,
asegurando que solo serán desarrolladas por personas autorizadas y desde equipos
y emplazamientos autorizados, pudiendo incluir restricciones de horario y puntos de
acceso facultados, en su caso.
○ Cualquier función que no sea de interés o innecesaria será deshabilitada o no
implementada. El uso del sistema ha de ser sencillo y seguro, de tal forma que el uso
inseguro requiera de actos conscientes por parte del usuario.
La seguridad estará presente desde la concepción de un sistema o aplicación
y permanecerá presente durante todo su ciclo de vida. En la concepción de un nuevo
sistema o aplicación, o modificación sustancial de un sistema o aplicación existente, se
contará siempre, y desde el inicio, con la participación del Responsable de la Información
y del Servicio, del Responsable de Seguridad de la Información y del Delegado o
Delegada de Protección de Datos.
i) Integridad y actualización del Sistema. La inclusiones o modificaciones de elementos
físicos o lógicos en el registro de activos del sistema requerían de autorización previa.
Del mismo modo, se evaluará y monitorizará, permanentemente los sistemas para que,
atendiendo a las deficiencias de configuración, las vulnerabilidades identificadas y las
actualizaciones, se adecue el estado de seguridad y se puedan detectar tempranamente
posibles incidentes de seguridad.
j) Protección de la información almacenada y en tránsito. Se protegerán los entornos
que contienen información almacenada y en tránsito entre entornos inseguros. En este
sentido se protegerán convenientemente los equipos portátiles que puedan contener
información, así como los soportes extraíbles (pendrives, discos duros extraíbles, etc.).
En el caso de la existencia de una normativa de protección de la información, más
restrictiva, se dará cumplimiento a la misma. Esta normativa puede ser interna o externa.
k) Prevención ante otros sistemas de información interconectados. Se desplegarán
las protecciones necesarias para proteger el perímetro de la red corporativa de la OAAF,
de forma que se neutralicen las posibles intrusiones procedentes del exterior, ya sea
iniciadas malintencionadamente por terceros o como consecuencia de la interconexión
con sistemas de terceros.
l) Registro de actividad. Los sistemas y aplicaciones generarán los registros de
actividad necesarios para conocer la actividad en los sistemas, de forma que se pueda
determinar en todo momento qué persona actúa, sobre qué datos, con qué operaciones y
sus privilegios de acceso.
m) Incidentes de seguridad. La OAAF definirá e implantará procedimiento de gestión
de incidentes de seguridad que asegure la correcta gestión y respuesta para mitigar o
minimizar el impacto del incidente. procedimiento de comunicación, gestión y respuesta a
incidentes de seguridad contemplará la comunicación y notificación de los incidentes a las
correspondientes autoridades de control, en su caso, de acuerdo con la legislación vigente.
n) Continuidad de la actividad. Los sistemas dispondrán de copias de seguridad y se
establecerán los mecanismos que fuesen necesarios para garantizar que la Organización
pudiese continuar con las operaciones.
o) Mejora continua del proceso de seguridad. Se deberá establecer un Sistema
de Gestión de la Seguridad que permita conocer en cada momento el estado de la
seguridad, mediante la definición y medida de indicadores, y permita tomar las decisiones
informadas pertinentes para cumplir los requisitos de seguridad establecidos.
Depósito Legal: SE-410/1979. ISSN: 2253-802X
https://www.juntadeandalucia.es/eboja
00319334
BOJA
Boletín Oficial de la Junta de Andalucía
