(VA) ENS - Quines són les funcions que ha de desenvolupar el Responsable del Sistema, segons l'ENS? Qui ha de ser aquesta persona?

ponsable del Sistema és un lloc operatiu, no un càrrec directiu o de govern. Sol rebre també la denominació de Responsable de Producció o Explotació, de manera que   en

ell ve  a recaure la responsabilitat de   la prestació material del servei.

Segons es manifesta en  la Guia CCN-STIC-801, el Responsable del Sistema haurà d'assumir  les següents responsabilitats:

• Desenvolupar, operar i mantindre del Sistema durant tot el seu cicle de vida, de les seues especificacions, instal·lació i verificació de   el seu correcte funcionament.
• Definir la topologia i política de gestió del Sistema establint els criteris d'ús  i els serveis disponibles en  aquest.
• Definir la política de connexió o desconnexió d'equips  i usuaris nous en  el Sistema. Aprovar els canvis que afecten   la seguretat de la manera d'operació  del Sistema. Decidir les mesures de seguretat que aplicaran els subministradors de components del Sistema durant les etapes de desenvolupament, instal·lació i prova d'aquest..
• Implantar i controlar les mesures específiques de seguretat del Sistema i cerciorar-se que  aquestes s'integren  adequadament dins del   marc general de seguretat. Determinar la configuració autoritzada de maquinari i programari a utilitzar en  el Sistema. Aprovar tota modificació substancial de   la configuració de qualsevol element del Sistema.
• Dur a terme   el preceptiu procés  d'anàlisi i gestió de riscos en  el Sistema. Determinar la categoria del sistema segons el procediment descrit en  l'Annex I de l'ENS  i determinar les mesures de seguretat que han d'aplicar-se  segons es descriu en  l'Annex II de l'ENS..
• Elaborar i aprovar la documentació de seguretat del Sistema.
• Delimitar les responsabilitats de cada entitat involucrada en  el manteniment, explotació, implantació i supervisió del Sistema.
• Vetlar per   el compliment de   les obligacions de l'Administrador  de Seguretat del Sistema (ASS).
• Investigar els incidents de seguretat que afecten el Sistema, i si escau,   comunicació al Responsable de Seguretat o a qui aquest determine.
• Establir plans de contingència i emergència, duent a terme   freqüents exercicis perquè  el personal es familiaritze amb ells.
• A més, el responsable del sistema pot acordar la suspensió del maneig de   una certa informació o la prestació de   un cert servei si és informat de deficiències greus de seguretat que pogueren afectar   la satisfacció de   els requisits establits. Aquesta decisió ha de ser acordada amb  els responsables de   la informació afectada, del servei afectat i el responsable de seguretat, abans  de ser executeua.

Per tant, aquest professional ha de posseir els coneixements tècnics adequats, així com  la capacitat de gestionar l'activitat  de   els operadors o tècnics de sistemes que tinga  al seu càrrec (si n'hi hagués).

D'altra banda,   res impedeix que aquesta funció siga assumida per   una persona (o persones) externes a   la pròpia organització (prèvia formalització contractual) i que puga reportar al Comité  de Seguretat o a   els Responsables TIC de l'organisme.  Fem notar de nou  que pot delegar-se la funció, no la responsabilitat, que serà sempre de l'organisme  públic.

 Quines són les funcions que ha de desenvolupar el Responsable de la.

Informació segons l'ENS?,.qui ha de ser?

Segons es manifesta en  la Guia CCN-STIC-801, , el Responsable de   la Informació és la persona (o òrgan col·legiat amb responsabilitat unitària identificable) que té  la potestat d'establir  els requisits de   la informació en matèria de seguretat, o, en terminologia de l'ENS,  la persona que determina els nivells  de seguretat de   la informació.

Per tant, el lògic serà que el Responsable de   la Informació es corresponga  amb algun funcionari o empleat públic  (de carrera o de lliure designació, segons els casos) pertanyent a   els nivells  de govern de l'organisme  públic en qüestió (per exemple,  càrrecs directius en  l'AGE). Note's que la informació de   alt nivell que es maneja en  un òrgan  de l'Administració  Pública o Entitat de Dret Públic cau habitualment dins de     un grup reduït de tipus de

informació, tipus que són molt estables en  el temps. La valoració es realitza una vegada en una fase inicial d'implantació  de l'ENS  i pot romandre inalterable durant anys.

Com en altres figures, res impedeix que aquesta responsabilitat puga recaure en  un òrgan col·legiat (presidit per   una persona física, que serà la que  assumirà la responsabilitat formal dels seus actes.) Per exemple,  tal és el cas del Ple de   un Ajuntament, quan determina i aprova la valoració feta  d'una determinada informació i, en  la seua conseqüència, acceptant el risc residual que poguera romandre després de la  preceptiva Anàlisi de Riscos i obtenció de   la Declaració d'Aplicabilitat..

Encara que l'aprovació  formal de   els nivells corresponga al responsable de   la informació, es pot recaptar una proposta al Responsable de Seguretat i convé que s'escolte  l'opinió  del Responsable del Sistema.