Versiones comparadas

Clave

  • Se ha añadido esta línea.
  • Se ha eliminado esta línea.
  • El formato se ha cambiado.

...

Para lograr esto, se aplicarán las medidas de seguridad indicadas en el anexo II del ENS, en función de los tipos de activos presentes y las dimensiones de información relevantes, considerando las categorías de seguridad en las que recaen los sistemas de información objeto de la contratación según los criterios establecidos en el anexo I del ENS, conforme a la declaración de aplicabilidad.

Deberá también tenerse en cuenta lo dispuesto en el Decreto 1/2011, de 11 de enero, por el que se establece la política de seguridad de las tecnologías de la información y comunicaciones en la Administración de la Junta de Andalucía (modificado por el Decreto 70/2017, de 6 de junio) y en su desarrollo a partir de la Orden de 9 de junio de 2016, por la que se efectúa el desarrollo de la política de seguridad de las tecnologías de la información y comunicaciones en la Administración de la Junta de Andalucía y normativa asociada.

...

De acuerdo con lo establecido en el artículo 32 del REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016, relativo a la protección de las personas físicas, en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) en adelante RGPD, la figura del responsable del tratamiento, que recae en el Director Gerente del Servicio Andaluz de Salud (en adelante SAS), representado por cada Dirección Gerencia de los centros, realizará la evaluación de riesgos que determinen las medidas apropiadas para garantizar la seguridad de la información y los derechos de las personas usuarias. Asimismo, y como se detalla en el punto 2, el encargado del tratamiento, representado por la persona contratista, también evaluará los posibles riesgos derivados del tratamiento, teniendo en cuenta los medios utilizados (tecnologías de acceso, recursos utilizados, etc.) y cualquier otra contingencia que pueda incidir en la seguridad. La determinación de las medidas de seguridad que deben ser aplicadas por la persona contratista podrá realizarse mediante la remisión de toda la información a la plataforma Confluence corporativa de la STIC, donde se albergan las medidas de seguridad de tratamiento de información de ámbito general o para escenarios de tratamiento o cesión de información específicos. Como mínimo, se incorporarán las medidas establecidas en Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad, en adelante ENS, establecidas para los sistemas de categoría de nivel MEDIOconforme a la categoría del sistema y la declaración de aplicabilidad.

El encargado del tratamiento, junto con el responsable del tratamiento, establecerán las medidas técnicas y organizativas apropiadas para garantizar el nivel de seguridad según lo identificado en la Evaluación de Riesgos que, en su caso, incluirán, entre otros:

...

  • la correcta identificación de los usuarios (medida op.acc.1 del anexo II del ENS).
  • la adecuada gestión de derechos de acceso (medida op.acc.4).
  • la correcta selección e implantación de los mecanismos de autenticación (medida op.acc.5 y op.acc.6).


a) En relación con las directrices corporativas que se creen en materia de gestión de identidades.

...

DMSAS es el directorio activo del SAS, que constituye la única fuente de identificación y autenticación normalizada de la organización y por ello todo sistema de información de se oferte deberá integrarse con dicho sistema..

32.

...

           Protección puesto de trabajo y distribución de software

El SAS enrolará a la persona adjudicataria en los actuales procedimientos de resolución remota, entre los que cabe destacar, sin ser exhaustivos:

  • Gestión de inventario, de la configuración y de activos.
  • Administración y despliegue de software.
  • Ejecución de las políticas de actualización de parches establecidas.
  • Gestión y despliegue de imágenes y maquetas definidas para cualquier elemento de la configuración.
  • Control remoto de los equipos de puesto de trabajo digital.
  • Ejecución de las políticas de protección y eliminación de virus informáticosmalware.

Para ello, la persona adjudicataria deberá usar las herramientas corporativas del SAS: Symantec Endpoint Protection (SEP), microCLAUDIA, Crowdstrike y Altiris, para las cuales su personal estará convenientemente capacitado.

...