Preambulo Política de seguridad de los sistemas de información de la Secretaría de Estado de Presupuestos y Gastos y de la Intervención General de la Administración del Estado

El marco normativo de la Administración electrónica que surge a partir de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos, considera la seguridad como un elemento fundamental para la confianza en las relaciones entre las administraciones públicas y entre éstas y los ciudadanos, siendo uno de sus pilares el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad (en adelante ENS) en el ámbito de la Administración Electrónica.

Las tendencias tecnológicas actuales hacia el acceso en movilidad, la virtualización y el paradigma de «nube», y la necesidad de tratamiento de ingentes cantidades de información, incluso procedentes de las propias redes sociales, han llevado, no sólo a las organizaciones sino también a los Gobiernos, a implicarse en la política de seguridad a los más altos niveles de decisión.

La evolución y complejidad de las amenazas y ataques a través de la red que afectan a ciudadanos, empresas y administraciones públicas ha propiciado la definición de una Estrategia de Seguridad Nacional (en adelante ESN), una de cuyas líneas de actuación es la Ciberseguridad que se ha desarrollado mediante la definición de la Estrategia de Ciberseguridad Nacional (en adelante, ECN), que tiene por objeto garantizar un uso seguro de las redes y los sistemas de información a través del fortalecimiento de las capacidades de prevención, dirección y respuesta a los ciberataques.

La Secretaría de Estado de Presupuestos y Gastos y la Intervención General de la Administración del Estado, ámbito funcional conjunto, al que, en adelante, esta resolución se refiere como Administración presupuestaria, consideran la información un activo esencial para el cumplimiento adecuado de sus funciones. Asumen, por tanto, la seguridad de la información como una responsabilidad asociada a su protección frente a las amenazas que puedan afectar a su autenticidad, integridad, disponibilidad, confidencialidad, trazabilidad y conservación.

Esta responsabilidad por la seguridad de la información tuvo su primer reflejo normativo a través de la Resolución de la Secretaría de Estado de Presupuestos y Gastos, de 8 de julio de 2002, y, posteriormente, mediante la Resolución de la Secretaría de Estado de Hacienda y Presupuestos, de 24 de mayo de 2005, de acceso a las bases de datos de la Secretaría General de Presupuestos y Gastos y de la Intervención General de la Administración del Estado, que sentaron las bases organizativas y técnicas para la instrumentación de la seguridad informática en la vertiente del control de accesos a las bases de datos, en el ámbito de la Administración presupuestaria.

Desde un enfoque de la seguridad centrado en el control de accesos a los sistemas se evolucionó hacia una política global de seguridad a través de la Resolución de 27 de febrero de 2009, de la Secretaría de Estado de Hacienda y Presupuestos, por la que se regula la política de seguridad de los sistemas de información de la Secretaría General de Presupuestos y Gastos y de la Intervención General de la Administración del Estado.

Corresponde ahora adaptar esta política de seguridad del ámbito de la Administración presupuestaria al ENS, a la línea 3 de la ESN y a la ECN, estableciendo una estrategia y una estructura organizativa para su desarrollo que permitan adaptarse a los cambios permanentes en las condiciones del entorno para garantizar la prestación continua de los servicios.

Esta política de seguridad del ámbito de la Administración presupuestaria debe estar asimismo inscrita en el marco establecido por la recientemente aprobada Orden HAP/1953/2014, de 15 de octubre, por la que se aprueba la política de seguridad de la información en el ámbito de la administración electrónica del Ministerio de Hacienda y Administraciones Públicas.

La seguridad es una función transversal en las administraciones públicas, caracterizada por tratarse de un proceso integral constituido por todos los elementos humanos, técnicos, materiales y organizativos, relacionados con un sistema, como se deduce tanto del artículo cinco del ENS como de la ECN en su conjunto. Es por ello, que la seguridad debe abarcar cada etapa del ciclo de vida del sistema y sus documentos (generación, distribución, almacenamiento, procesamiento, transporte, consulta y destrucción), así como de los sistemas que lo soportan (análisis, diseño, desarrollo, implementación, operación, mantenimiento y obsolescencia).

En este contexto, la presente Política de Seguridad de la Información constituye el marco normativo y organizativo orientado a facilitar la definición, gestión, administración e implementación de los mecanismos y procedimientos de seguridad en el ámbito de la Administración presupuestaria, adaptados al ENS, ESN y ECN, dentro del marco de referencia establecido por la política de seguridad del Ministerio de Hacienda y Administraciones Públicas.

Asimismo esta Política de Seguridad de la Información debe ajustarse a lo establecido en el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, aprobado por el Real Decreto 1720/2007, de 21 de diciembre.

El Real Decreto 256/2012, de 27 de enero, por el que se desarrolla la estructura orgánica básica del Ministerio de Hacienda y Administraciones Públicas, establece en su artículo 11, apartado 1.h), que la Intervención General de la Administración del Estado es el órgano encargado de la planificación, diseño y ejecución de la política informática de la Secretaría de Estado de Presupuestos y Gastos y de la Intervención General de la Administración del Estado, el soporte informático de las actividades y el asesoramiento, coordinación e instrumentación de los proyectos informáticos de sus órganos.

En su virtud, a propuesta de la Intervención General de la Administración del Estado, he tenido a bien disponer: