This Information security policy according to the National Security Scheme applies to all the users of the Advanced Computing and e-Science Group computing services.

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN CONFORME AL ESQUEMA NACIONAL DE SEGURIDAD (ENS)

La seguridad se entiende como un proceso integral constituido por todos los elementos humanos, materiales, técnicos, jurídicos y organizativos relacionados con el sistema de información. La aplicación del ENS estará presidida por este principio, que excluye cualquier actuación puntual o tratamiento coyuntural.

El Vicedirector del IFCA ha asignado al responsable de Seguridad de la Información, apoyado por el Comité de Seguridad,  para establecer, implementar y mantiene esta política, que es complementaria a nuestra política integrada de calidad y seguridad de la información. Esta política es complementaría al resto de políticas de seguridad (Documentos PSXXX) que afectan al sistema integrado ISO/IEC27001 y ENS, siendo todas aplicables y de obligado cumplimiento. Por ello, manifiesto que la misión del IFCA es la investigación en ciencias básicas para entender el universo, de lo más pequeño a lo más grande, desde las partículas elementales (Física de Partículas) a las estructuras más grandes del universo (Astrofísica y Cosmología), así como el comportamiento complejo de la materia (Física no Lineal). Además, tiene líneas de investigación relacionadas con las actividades anteriores y orientadas a resolver retos de la sociedad, como el cambio climático, las e-infraestructuras y la ciencia de datos e inteligencia artificial.

En cumplimiento del artículo 5. Principios básicos del Esquema Nacional de Seguridad ,declaro que el objeto último de la seguridad de la información es garantizar que una organización podrá cumplir sus objetivos, desarrollar sus funciones y ejercer sus competencias utilizando sistemas de información. Por ello, en materia de seguridad de la información deberán tenerse en cuenta los siguientes principios básicos:

a) Seguridad como proceso integral.

b) Gestión de la seguridad basada en los riesgos.

c) Prevención, detección, respuesta y conservación.

d) Existencia de líneas de defensa.

e) Vigilancia continua.

f) Re-evaluación periódica.

g) Diferenciación de responsabilidades.

En cumplimiento del artículo 12 del Real Decreto del ENS, nuestra Política de Seguridad se basa en estos requisitos mínimos:

1. Organización e implantación del proceso de seguridad.

2. Análisis y gestión de los riesgos.

3. Gestión de personal.

4. Profesionalidad.

5. Autorización y control de los accesos.

6. Protección de las instalaciones.

7. Adquisición de productos de seguridad y contratación de servicios de seguridad.

8. Mínimo privilegio.

9. Integridad y actualización del sistema.

10. Protección de la información almacenada y en tránsito.

11. Prevención ante otros sistemas de información interconectados.

12. Registro de actividad y detección de código dañino.

13. Incidentes de seguridad.

14. Continuidad de la actividad.

15. Mejora continua del proceso de seguridad.

El Servicio de Computación del IFCA se encuentra sujeto al marco legal y regulativo en el que se desarrollarán nuestras actividades, que incluye los siguientes ámbitos:

• Administración Electrónica
• Seguridad de la Información y Ciberseguridad
• Protección de Datos
• Infraestructuras Críticas
• Propiedad Intelectual e industrial
• Contratación Pública
• Ley de telecomunicaciones
• Transparencia

Este marco regulativo queda reflejado en la lista de legislación actualizada accesible en:
Tabla de marco regulativo que afecta al servicio de COmputación del IFCA

Todos los documentos anteriormente referenciados forman parte de la política de seguridad.

Los roles o funciones de seguridad, definiendo para cada uno los deberes y responsabilidades del cargo, así como el procedimiento para su designación, renovación y resolución de conflictos, se definen en  el PI018 Control de recursos Humanos y contratación en su punto 2.9.

Los puestos encargados del sistema son el Responsable del Servicio, Responsable de la seguridad de la información, Responsable de seguridad y Responsable del sistema. Estos puestos se encuentran definidos en las fichas de puesto del sistema integrado. La función del Punto de contacto (POC) está asignada al Responsable de seguridad.

Fichas de Puestos de ENS

La estructura del comité o los comités para la gestión y coordinación de la seguridad, detallando su ámbito de responsabilidad, las personas integrantes y la relación con otros elementos del IFCA, se definen en el manual integrado de calidad y seguridad de la información y salas limpias.

Las directrices para la estructuración de la documentación de seguridad del sistema, su gestión y acceso se definen en nuestro procedimiento integrado de control de los documentos.

Cuando el IFCA preste servicios a otros organismos o maneje información de otros organismos, se les hará partícipes de esta Política de Seguridad de la Información y de otras complementarias, se establecerán canales para reporte y coordinación de los respectivos Comités y se establecerán procedimientos de actuación para la reacción ante incidentes de seguridad.

Fdo. : D. Patricio Vielva

Director del Instituto de Fisica de Cantabria

PDF Signed Policy