Este documento ha sido descargado de www.belt.es “El portal de los profesionales de la seguridad”. RESOLUCION DE 9 DE DICIEMBRE DE 2005, DE LA CONSEJERÍA DE ECONOMÍA Y ADMINISTRACIÓN PÚBLICA, POR LA QUE SE ESTABLECEN LOS CRITERIOS DE DISPONIBILIDAD, AUTENTICIDAD, INTEGRIDAD, CONFIDENCIALIDAD Y CONSERVACIÓN DE LA INFORMACIÓN EN LOS SISTEMAS INFORMÁTICOS DE SOPORTE DEL REGISTRO TELEMÁTICO. (BOPA DE 21 DE FEBRERO DE 2006) El artículo 38.9 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, prevé la creación de registros telemáticos para la recepción o salida de solicitudes, escritos y comunicaciones relativas a procedimientos y trámites especificados en su norma de creación y que cumplan con los criterios de disponibilidad, autenticidad, integridad, confidencialidad y conservación de la información que igualmente se señalen en su norma de creación. El Decreto 111/2005, de 3 de noviembre, sobre registro telemático en el ámbito de la Administración del Principado de Asturias, es la norma que establece la regulación del servicio de registro telemático en esta Administración, crea y regula el Registro Telemático del Principado de Asturias y prevé la creación de otros registros telemáticos de manera excepcional. En el artículo 12 se hace referencia a los requerimientos técnicos para el acceso y utilización del registro telemático y se remite la descripción de los criterios antedichos a una Resolución. La presente Resolución es, pues, la disposición que establece los criterios que ha de cumplir el sistema informático del Registro Telemático del Principado de Asturias y aquellos otros que, en aplicación de lo previsto en el artículo 20 del mencionado Decreto, se creen en el futuro, y se dicta en el ejercicio de las funciones que la Consejería de Economía y Administración Pública tiene asignadas en materia de soporte tecnológico, informático y de comunicaciones de la organización según el Decreto 84/2003, de 29 de julio, de su estructura orgánica. En virtud de lo anterior, por la presente, R E S U E L V O Artículo 1.—Objeto La presente Resolución tiene por objeto establecer los requisitos de autenticidad, integridad, disponibilidad, confidencialidad y conservación de la información en los sistemas informáticos de soporte del registro telemático en el ámbito de la Administración del Principado de Asturias y de los organismos y entes públicos pertenecientes a su sector público. Artículo 2.—Adopción de medidas de seguridad, organizativas o técnicas 1. Con carácter general se aplicarán a los sistemas informáticos de soporte del registro telemático las medidas de seguridad, conservación y normalización que se describen en la política de seguridad corporativa de la Administración del Principado de Asturias, emitida por la Dirección General de Informática, así como todas las normas y procedimientos que de ella dimanan. 2. Lo dispuesto en esta disposición se aplicará en todo caso de conformidad con lo previsto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, y demás normativa aplicable en esta materia. Artículo 3.—Criterios de disponibilidad La Administración del Principado de Asturias establecerá las medidas técnicas y organizativas para que la disponibilidad del servicio sea de 7 días a la semana y 24 horas al día. En cualquier caso se establecerán las siguientes medidas: a) Mantenimiento actualizado del software de base y específico sobre el que está soportado el sistema informático de soporte del registro telemático, siguiendo las recomendaciones de los fabricantes y las indicadas en las listas de vulnerabilidades correspondientes. b) Adopción de medidas de seguridad física en el entorno donde se encuentren los equipos que den soporte a las aplicaciones. c) Protección de los sistemas y de las aplicaciones contra el código dañino y contra ataques de denegación del servicio y establecimiento en cualquier caso de las medidas oportunas. d) Mantenimiento de un plan de contingencias operativo. Artículo 4.— Criterios de autenticidad 1. Los sistemas informáticos de registro telemático dispondrán de los siguientes mecanismos válidos de identificación del usuario: a) Identificación electrónica con validación de datos. b) Identificación electrónica con contraseña. c) Identificación electrónica con certificado. d) Firma electrónica avanzada o reconocida. 2. En el primero de los casos, la identificación del usuario se comprobará mediante la validación automática de datos obrantes en la Administración, en sistemas adaptados a la política de seguridad corporativa de la Administración del Principado de Asturias. Este documento ha sido descargado de www.belt.es “El portal de los profesionales de la seguridad”. 3. En el segundo de los casos, la identificación del usuario se comprobará a través de un código de usuario y una contraseña, previamente facilitados a la persona física o jurídica por el órgano competente en materia de atención ciudadana o, en su caso, por el órgano titular del registro telemático de que se trate. 4. Dicha contraseña se almacenará de forma ininteligible en un repositorio informático, y deberá tener un tamaño mínimo de 8 caracteres alfanuméricos, pudiendo cambiarla cuando lo desee el ciudadano titular de la misma. 5. En el tercer y cuarto caso se utilizarán certificados electrónicos que cumplan la recomendación X.509 (ISO/IEC 9594-8 de 1997) y que sean emitidos por autoridades de certificación reconocidas por la Administración del Principado de Asturias, los cuales en el momento de su uso no deberán estar caducados ni revocados. 6. En el cuarto caso se aplicará todo lo establecido en la Ley 59/2003, de 19 de diciembre, de Firma Electrónica. Artículo 5.—Requisitos de integridad Se garantizará la integridad de la información con, al menos, las siguientes medidas mínimas: a) Aplicación de técnicas de comprobación de la integridad de la información, como firma electrónica (con los requisitos señalados en los números 5 y 6 del artículo anterior), funciones resumen hash o devolución de acuse de recibo al ciudadano, firmado electrónicamente por el servidor de la Administración del Principado de Asturias con el contenido íntegro de la información recibida y, en su caso, fechado electrónico. b) Firma electrónica del servidor de la Administración del Principado de Asturias en la información custodiada en el sistema de registro telemático que haya sido enviada por el ciudadano sin su propia firma digital. c) Copias de respaldo de ficheros y bases de datos y protección y conservación de soportes de la información. d) Protección de los archivos de información destinados a los interesados mediante atributos de sólo lectura. e) Instalación de herramientas o procedimientos en las aplicaciones que ejecuten transacciones o procesos donde se produzcan múltiples actualizaciones de datos que se encuentren relacionados entre sí para prevenir el caso de que se produzca un fallo de proceso y no se pueda completar la transacción. f) Análisis periódico de los sistemas de información, de los accesos a la información y a las aplicaciones, de los registros de eventos o incidencias, de las operaciones, así como de los recursos utilizados. g) Adopción de medidas de protección frente a código dañino en los servidores de aplicación y en los soportes circulantes. h) Establecimiento de procedimientos para evitar la instalación de software no autorizado, el borrado accidental o no autorizado y los accesos no autorizados. Artículo 6.—Requisitos de confidencialidad La Administración del Principado de Asturias adoptará medidas para la salvaguarda de la confidencialidad. Como mínimo se establecerán las siguientes medidas: a) Medidas de seguridad física. b) Control de los accesos a los sistemas informáticos de soporte de registro telemático, en especial los que lleguen a través de las redes de comunicaciones. c) Protección de los soportes informáticos y copias de respaldo. d) Cifrado de las comunicaciones, cuando así lo establezca la legislación sobre protección de datos de carácter personal, cuando viaje información particular de un ciudadano por redes públicas de comunicaciones o cuando lo estime necesario la Administración del Principado de Asturias. Artículo 7.—Criterios de conservación de la información transmitida mediante registro telemático Los documentos electrónicos que se reciban o remitan mediante registro telemático serán archivados y custodiados en soportes y sistemas informáticos. Para su archivo podrá utilizarse el mismo formato del documento electrónico originario o cualquier otro que, en todo caso, asegure la integridad y disponibilidad de la información que el documento contenga. Los soportes en que se almacenen los documentos electrónicos serán objeto de medidas de seguridad que garanticen la integridad, protección y conservación de los documentos almacenados y, en particular, la identificación de los usuarios y el control de acceso a los mismos. En esta materia se estará a lo dispuesto en el Decreto 21/1996, de 6 de junio, por el que se regula la organización y funcionamiento del sistema de archivos administrativos del Principado de Asturias. Artículo 8.— Protocolos y criterios técnicos de los sistemas informáticos de registro telemático 1. La sincronización de fecha y hora de los servicios informáticos de registro telemático se realizará con el Real Instituto y Observatorio de la Armada, de conformidad con lo previsto sobre la hora legal en el Real Decreto 1308/1992, de 23 Este documento ha sido descargado de www.belt.es “El portal de los profesionales de la seguridad”. de octubre, por el que se declara el Laboratorio del Real Instituto y Observatorio de la Armada como laboratorio depositario del Patrón Nacional de Tiempo y laboratorio asociado al Centro Español de Metrología, y según las condiciones técnicas y protocolos que el citado organismo establezca. 2. El acceso del ciudadano a través de Internet al registro telemático se realizará mediante un navegador web que cumpla la especificación W3C HTML.4.01 o superior. 3. El protocolo para la comunicación entre el navegador web del interesado y el servidor de la Administración será http 1.0 o superior cuando los datos no requieran ser cifrados y https con SSLv2 o SSLv3 cuando lo requieran, con cifrado simétrico de, al menos, 128 bits. Artículo 9.— Entrada en vigor La presente Resolución entrará en vigor el día siguiente al de su publicación en el BOLETIN OFICIAL del Principado de Asturias. Oviedo, 9 de diciembre de 2005.—El Consejero de Economía y Administración Pública, Jaime Rabanal García. —2.172