This Information security policy according to the National Security Scheme applies to all the users of the Advanced Computing and e-Science Group computing services.

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN CONFORME AL ESQUEMA NACIONAL DE SEGURIDAD (ENS)

La seguridad se entiende como un proceso integral constituido por todos los elementos humanos, materiales, técnicos, jurídicos y organizativos relacionados con el sistema de información. La aplicación del ENS estará presidida por este principio, que excluye cualquier actuación puntual o tratamiento coyuntural.

El Vicedirector del IFCA,apoyado por el Comité de Seguridad, establece, implementa y mantiene esta política, que es complementaria a nuestra política integrada de calidad y seguridad de la información. Por ello, manifiesto que la misión del IFCA es la investigación en ciencias básicas para entender el universo, de lo más pequeño a lo más grande, desde las partículas elementales (Física de Partículas) a las estructuras más grandes del universo (Astrofísica y Cosmología), así como el comportamiento complejo de la materia (Física no Lineal). Además, tiene líneas de investigación relacionadas con las actividades anteriores y orientadas a resolver retos de la sociedad, como el cambio climático, las e-infraestructuras y la ciencia de datos e inteligencia artificial.

En cumplimiento del artículo 5. Principios básicos del Esquema Nacional de Seguridad ,declaro que el objeto último de la seguridad de la información es garantizar que una organización podrá cumplir sus objetivos, desarrollar sus funciones y ejercer sus competencias utilizando sistemas de información. Por ello, en materia de seguridad de la información deberán tenerse en cuenta los siguientes principios básicos:

a) Seguridad como proceso integral.

b) Gestión de la seguridad basada en los riesgos.

c) Prevención, detección, respuesta y conservación.

d) Existencia de líneas de defensa.

e) Vigilancia continua.

f) Re-evaluación periódica.

g) Diferenciación de responsabilidades.

En cumplimiento del artículo 12 del Real Decreto del ENS, nuestra Política de Seguridad se basa en estos requisitos mínimos:

1. Organización e implantación del proceso de seguridad.

2. Análisis y gestión de los riesgos.

3. Gestión de personal.

4. Profesionalidad.

5. Autorización y control de los accesos.

6. Protección de las instalaciones.

7. Adquisición de productos de seguridad y contratación de servicios de seguridad.

8. Mínimo privilegio.

9. Integridad y actualización del sistema.

10. Protección de la información almacenada y en tránsito.

11. Prevención ante otros sistemas de información interconectados.

12. Registro de actividad y detección de código dañino.

13. Incidentes de seguridad.

14. Continuidad de la actividad.

15. Mejora continua del proceso de seguridad.

EL IFCA se encuentra sujeto a la siguiente marco legal y regulativo en el que se desarrollarán nuestras actividades.

1. Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.

2. Real Decreto 43/2021, de 26 de enero, por el que se desarrolla el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información.

3. Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información.

4. Resolución de 13 de abril de 2018, de la Secretaría de Estado de Función Pública, por la que se aprueba la Instrucción Técnica de Seguridad de Notificación de Incidentes de Seguridad.

5. Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de conformidad con el Esquema Nacional de Seguridad.

6.Resolución de 7 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de Informe del Estado de la Seguridad.

7. Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.

8. Ley 36/2015, de 28 de septiembre, de Seguridad Nacional.

9. Ley 9/2014, de 9 de mayo, General de Telecomunicaciones.

10. Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.Tabla del apartado 2.4 del Anexo II.

11. Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

12. REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (reglamento General de Protección de Datos), de aplicación al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.

13. Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSI-CE).

14. Real Decreto-ley 13/2012 de 30 de marzo, ley de cookies.

15. Real Decreto Legislativo 1/1996, de 12 de abril, por el que se aprueba el texto refundido de la Ley de Propiedad Intelectual, regularizando, aclarando y armonizando las disposiciones legales vigentes sobre la materia.

Los roles o funciones de seguridad, definiendo para cada uno los deberes y responsabilidades del cargo, así como el procedimiento para su designación, renovación y resolución de conflictos, se definen en los registros derivados de nuestro procedimiento integrado de control de recursos humanos y contratación.

Los puestos encargados del sistema son el Responsable del Servicio, Responsable de la seguridad de la información, Responsable de seguridad y Responsable del sistema. Estos puestos se encuentran definidos en las fichas de puesto del sistema integrado. La función del Punto de contacto (POC) está asignada al Responsable de seguridad.

La estructura del comité o los comités para la gestión y coordinación de la seguridad, detallando su ámbito de responsabilidad, las personas integrantes y la relación con otros elementos del IFCA, se definen en el manual integrado de calidad y seguridad de la información y salas limpias.

Las directrices para la estructuración de la documentación de seguridad del sistema, su gestión y acceso se definen en nuestro procedimiento integrado de control de los documentos.

Cuando el IFCA preste servicios a otros organismos o maneje información de otros organismos, se les hará partícipes de esta Política de Seguridad de la Información y de otras complementarias, se establecerán canales para reporte y coordinación de los respectivos Comités y se establecerán procedimientos de actuación para la reacción ante incidentes de seguridad.

Fdo. : D. Patricio Vielva

Vicedirector del IFCA

Documento PDF

Fichas de Puestos de ENS