Cláusula PPT sobre ciberseguridad

Información general

Icono prescripciones técnicas
Tipo de recurso
Cláusula para los PPT
Etiquetas
Contratación pública

Ámbito de aplicación de la cláusula PPT

Tiene por objeto garantizar el cumplimiento normativo en materia de protección de datos personales y seguridad en la Junta de Andalucía.

Obligatoria para licitaciones de contratos de servicios TIC, incluido los de desarrollo software.

 

Cláusula a incluir en los PPT

 

CIBERSEGURIDAD

Cumplimiento del Esquema Nacional de Seguridad

Las proposiciones deberán garantizar el cumplimiento de los principios básicos y requisitos mínimos requeridos para una protección adecuada de la información dictados por el Real Decreto 311/2022, de 3 de mayo, que regula el Esquema Nacional de Seguridad.

En concreto, se deberá asegurar el acceso, integridad, disponibilidad, autenticidad, confidencialidad, trazabilidad y conservación de los datos, informaciones y servicios utilizados en medios electrónicos que son objeto de la presente contratación. Para lograr esto, se adoptarán las medidas de seguridad indicadas en el anexo II del ENS aplicables a la categoría del sistema y a los niveles de seguridad requeridos para el mismo, en las dimensiones de confidencialidad, integridad, trazabilidad, autenticidad y disponibilidad, que se detallan a continuación:

"<<Incluir una relación de las categorías de seguridad ALTA, MEDIA o BÁSICA y de los niveles de seguridad ALTO, MEDIO o BAJO de cada dimensión, para los sistemas de información objeto de la contratación>>

A estas medidas se sumarán aquellas medidas adicionales que se definan por el Responsable de Seguridad (artículo 28 del ENS) y aquellas que se añadan en base a análisis de riesgos conforme al artículo 24 del Reglamento General de Protección de Datos y, en los supuestos de su artículo 35, a la evaluación de impacto en la protección de datos (artículo 3.3 del ENS). 

El Responsable de Seguridad trasladará las medidas aplicables a través del Responsable del Contrato durante la ejecución de este.

Deberá también tenerse en cuenta lo dispuesto en el Decreto 1/2011, de 11 de enero, por el que se establece la Política de seguridad de las tecnologías de la información y comunicaciones en la Administración de la Junta de Andalucía (modificado por el Decreto 70/2017, de 6 de junio) y en su desarrollo a partir de la Orden de 9 de junio de 2016, por la que se efectúa el desarrollo de la política de seguridad de las tecnologías de la información y comunicaciones en la Administración de la Junta de Andalucía y normativa asociada.

Se atenderá también a la normativa interna del organismo contratante en materia de ciberseguridad. 

El organismo contratante desplegará los medios necesarios para auditar el cumplimiento de la política de seguridad y de los niveles de servicio acordados por parte del contratista, según lo expresado en los documentos de contratación. 

Además, se deberá atender a las mejores prácticas sobre seguridad recogidas en las series de documentos CCN-STIC (Centro Criptológico Nacional - Seguridad de las Tecnologías de Información y Comunicaciones), disponibles en la web del CERT del Centro Criptológico Nacional (http://www.ccn-cert.cni.es/), así como a las guías y procedimientos aplicables elaborados por la Unidad de Seguridad TIC Corporativa de la Junta de Andalucía y a las indicaciones del Centro de Operaciones de Seguridad (SOC) de la Junta de Andalucía.

Colaboración en la gestión de la seguridad del sistema

El adjudicatario colaborará con la realización de los análisis de riesgos que se realicen, que tendrán en cuenta los siguientes aspectos:

  • Identificación de los activos relevantes dentro del alcance considerado del Sistema de Información.
  • Valoración cualitativa de los activos más valiosos del sistema. La valoración de los activos corresponde a los responsables designados en la política de seguridad del organismo. Para ello se tendrá en cuenta el perjuicio que supondría su degradación.
  • Identificación y cuantificación de las amenazas más probables.
  • Identificación y valoración de las salvaguardas que protegen de dichas amenazas.
  • Identificación y valoración del riesgo residual. 

El adjudicatario deberá prestar al organismo la colaboración necesaria durante la realización de auditorías técnicas y de cumplimiento normativo.

Certificación ENS de la empresa

En cumplimiento de la Instrucción Técnica de Seguridad de conformidad con el Esquema Nacional de Seguridad aprobada por Resolución de 13 de octubre de 2016 de la Secretaría de Estado de Administraciones Públicas, el adjudicatario deberá disponer de Declaración o Certificación de Conformidad con el ENS categoría<<<reflejar categoría exigible, que deberá ser acorde con la valoración del servicio a licitar>>>;para la prestación de los servicios o provisión de las soluciones contempladas en este expediente, en caso de existir en el alcance de esta contratación servicios no prestados desde las instalaciones de la Junta de Andalucía (por ejemplo, servicios prestados desde una nube). Esta Certificación de Conformidad con el ENS debe versar sobre soluciones proporcionadas o servicios prestados por el operador del sector privado que estén relacionadas con las soluciones y servicios que son objeto de contratación del presente expediente, según apartado VII.1 de la Instrucción Técnica de Seguridad citada.

Caso de que el adjudicatario no disponga de la Declaración o Certificación de Conformidad indicada, se le otorgaría un plazo máximo de 6 meses para la obtención de ésta, contados a partir de la fecha de adjudicación/formalización del contrato. 

Interlocución y roles en materia de ciberseguridad

Se asignarán los roles relacionados con la seguridad de los sistemas de información, reflejados en el Esquema Nacional de Seguridad y detallados en la guía CCN-STIC 801 (Responsabilidades y Funciones en el ENS). 

La interlocución con el adjudicatario en aspectos de seguridad corresponderá al Responsable del Contrato, con la colaboración y con la orientación del Responsable de Seguridad. 

Todos estos roles serán identificados e informados, dentro del marco normativo de seguridad establecido en la Junta de Andalucía, desde el inicio del desarrollo del sistema.

Punto de contacto (PoC) de seguridad

En cumplimiento del artículo 13 del Real Decreto 311/2022 (Esquema Nacional de Seguridad), el adjudicatario deberá designar un PoC (Punto o Persona de Contacto) para la seguridad de la información tratada y el servicio prestado, que cuente con el apoyo de los órganos de dirección, y que canalice y supervise, tanto el cumplimiento de los requisitos de ciberseguridad y las comunicaciones relativas a la seguridad de la información y la gestión de los incidentes para el ámbito de dicho servicio. 

El adjudicatario deberá comunicar cualquier cambio o sustitución de dicho POC a lo largo de la vida del contrato.

Dicho PoC de seguridad será el propio responsable de Ciberseguridad del contratista, formará parte de su área o tendrá comunicación directa con la misma, y su identificación se comunicará al SOC de la Junta de Andalucía a través del Responsable de Seguridad asignado al sistema. 

La comunicación de este PoC incluirá la referencia al contrato en el cual se realiza, su duración estimada, las actividades principales a realizar y los accesos remotos que se prevén.

Gestión de incidentes

El adjudicatario comunicará al personal de ciberseguridad del organismo, en primera instancia, o al Centro de Operaciones de Seguridad (SOC) de la Junta de Andalucía cualquier ciberincidente que detecte o del que tenga conocimiento.

Para la gestión de los incidentes de seguridad se seguirá lo dictado en la vigente Resolución de 13 de julio de 2018, de la Dirección General de Telecomunicaciones y Sociedad de la Información, por la que se establecen normas sobre gestión de incidentes de seguridad TIC (https://juntadeandalucia.es/boja/2018/141/29). En especial, en el punto 6 (comunicación de incidentes), 8 (comunicación entre organismos y entidades de incidentes y medidas adoptadas), 9 (colaboración con AndalucíaCERT) y 11 (denuncias).

Accesos remotos

El acceso remoto de los técnicos del equipo del proyecto, en el marco del contrato, a los servicios o sistemas de información de la entidad contratante Agencia Digital de Andalucía, se realizará nominalmente mediante el procedimiento aprobado por la Red Corporativa de la Junta de Andalucía (que podrá incluir, a modo de ejemplo, la opción de cliente VPN y/o soluciones de tipo SASE) sin necesidad de disponer de una conexión permanente al Nodo de Interconexión de la Red Corporativa de la Junta de Andalucía (funcionamiento en modo cliente de servicios internos, esto es, conectividad no simétrica), previa autorización por parte del Responsable del Contrato. Caso de que algún software necesario por el adjudicatario para el acceso remoto requiera de suscripción, el adjudicatario se deberá hacer cargo de estos posibles gastos ocasionados.

El modo de acceso será tal que garantice la seguridad de operación y explotación del sistema, así como el objetivo de almacenar y gestionar las solicitudes de servicio e incidencias que se produzcan durante la ejecución del contrato.

El adjudicatario debe realizar las solicitudes de forma individual para cada uno de los técnicos que requieran el acceso remoto, debiendo ser validada cada solicitud por el Responsable del Contrato. Asimismo, deberá comunicar en su caso las bajas eventuales que pudiera producirse durante la vida del contrato. 

El adjudicatario debe cumplir con la política de acceso remoto que aplique en el organismo durante todo el periodo de vigencia del contrato, que puede incluir, entre otros aspectos: alta del usuario en el Directorio Corporativo de la Junta de Andalucía, mecanismo de identificación y autenticación robusto empleando el certificado digital de la FNMT, software de la red privada virtual a utilizar, funciones permitidas y datos accesibles desde acceso remoto, tiempo máximo para cerrar sesiones inactivas, activación de los registros de actividad, etc.

Igualmente, el adjudicatario asegurará que la comunicación esté limpia de malware, virus y/o cualquier otro tipo de tráfico malicioso o no deseado.

Requisitos de seguridad en el desarrollo de aplicaciones

Se deberán considerar al menos los siguientes requisitos de seguridad, en el caso de que el objeto del contrato implique trabajos de desarrollo:

  • Defensa en profundidad, estableciéndose distintos puntos de control de seguridad en las distintas capas de una aplicación.
  • Confidencialidad en las comunicaciones.
  • Avisos legales sobre deberes y obligaciones.
  • Prevención ante la obtención de credenciales de usuarios.
  • Posibilidad de inhabilitación de cuentas de usuario.
  • Se garantizará el principio de mínimo privilegio, tanto en el acceso a los datos como a las funciones. La gestión de estos permisos se realizará a través de roles, evitando la posibilidad de asignar permisos o privilegios directos.
  • Identificación unívoca de usuario registrado.
  • Autenticación y gestión de sesiones de forma segura con objeto de evitar el robo o la manipulación de sesión.
  • Trazabilidad.
  • Validación de datos de entrada y salida.
  • Gestión correcta de mensajes de error.
  • Gestión segura de archivos.
  • Limpieza de documentos creados o publicados por el aplicativo.

 

Versión actual

Número de versión: v01r00

Fecha de aprobación: 20/09/2024