El Ministerio de Justicia y el Centro Nacional de Inteligencia (CNI) han firmado un convenio de colaboración en materia de ciberseguridad que tiene por objeto establecer las actuaciones de colaboración a las que se compromete el propio Ministerio, representado por la Subdirección General de Nuevas Tecnologías de la Justicia del Ministerio de Justicia (SGNTJ), y el CNI, personificado en el Centro Criptológico Nacional (CCN).
Este acuerdo, publicado por el Boletín Oficial del Estado el 27 de julio, se enmarca en la seguridad de los sistemas, servicios y redes TIC (Tecnologías de la Información y la Comunicación) de la Administración de Justicia, que procesan, almacenan o transmiten información en formato electrónico, y que incluyen medios de cifra.
El convenio, firmado el pasado 5 de junio por la entonces secretaria de Estado de Justicia, Carmen Sánchez-Cortés Martín, y por el secretario de Estado director del CNI y del CCN, Félix Sanz Roldán, incluye la puesta en funcionamiento de una oficina de seguridad, encargada de la estrategia gestión y operación de sistemas, servicios y redes TIC de la Administración de Justicia.
Asimismo, se contempla la implementación y la operación de un Centro de Operaciones de Ciberseguridad (SOC), con el que se mejorarán las capacidades de vigilancia y detección de incidentes en los sistemas de la SGNTJ y se optimizará la capacidad de reacción y respuesta ante cualquier posible ataque. El Ministerio de Justicia asumirá la dirección y gestión del SOC y el CCN-CERT, como CERT Gubernamental Nacional, actuará como prestador del servicio. Este SOC operará como una extensión del Centro de Operaciones de Seguridad de la Administración General del Estado y tenderá, de manera progresiva, a unificar y converger las diferentes actuaciones de seguridad que se proporcionen.
El servicio prestado permitirá reforzar la seguridad de juzgados y tribunales, fiscalías, registros administrativos de apoyo a la actividad judicial, Instituto de Medicina Legal, Instituto Nacional de Toxicología y Ciencias Forenses, y gerencias territoriales, según mandato de la Ley 18/2011 que a lo largo de su articulado, establece requisitos en materia de seguridad, exigiendo que ésta constituya una cualidad integral en la concepción de servicios, sistemas y aplicaciones (art. 48.1), un proceso integral que atienda en todo caso a la especial sensibilidad de la información contenida en los procedimientos judiciales electrónicos (art. 48.2), y un proceso de mejora continua (art. 50), y que también describe los elementos básicos que deben tenerse en cuenta en las
decisiones en materia de seguridad, niveles de seguridad, y función diferenciada (art. 53.1), y establece las dimensiones de la seguridad judicial electrónica en términos de autenticidad, confidencialidad, integridad, disponibilidad, trazabilidad y conservación (art. 53.2).
En el ámbito de la Justicia, el Esquema Judicial de Interoperabilidad y Seguridad (EJIS) incluye los requisitos de seguridad, de forma semejante al ENS (Esquema naconal de Seguridad), aplicable en la Administración General del Estado.
Los costes que se deriven de la ejecución de este convenio (tres millones de euros) los asume el Ministerio de Justicia, repartidos en 3 años: un millón en 2018; 1,5 millones en 2019; y 500.00 euros en 2020. El coste de sostenibilidad técnica y funcional se determina en función del número de
usuarios de los sistemas, servicios y redes T.I.C. de la Administración de Justicia. Para la valoración, se ha considerado que se da cobertura a dieciocho mil (18.000) usuarios y se atribuye un coste anual por usuario de ochenta y tres euros y treinta y tres céntimos de euro (83,33 €).
Actuaciones:
a) Actuaciones de intercambio de información técnica en materia de seguridad de los sistemas, servicios y redes en los siguientes campos:
– Sensores desplegados en los diferentes organismos, capacidades de monitorización de los mismos, información técnica en materia de seguridad.
– Documentación técnica relativa a seguridad.
- El C.C.N. dará acceso a las series de guías C.C.N.–S.T.I.C. desarrolladas para la Administración con objeto de adaptación a los entornos de la S.G.N.T.J. En caso de su difusión en otros entornos, se deberá citar el origen del documento.
– Incidentes de seguridad.
- Información técnica y procedimientos de resolución de los mismos para su aplicación en los entornos de actuación del C.C.N. (Sector Público) y la S.G.N.T.J.
– Iniciativas de seguridad desarrolladas por ambas entidades con objeto de mejorar la coordinación entre las mismas y, en la medida de lo posible, dar un mensaje común.
– Intercambio de formación y buenas prácticas en el ámbito propio de cada una de las partes.
b) Actuaciones de promoción del desarrollo de herramientas de seguridad y programas específicos.
Posibilidad de que el Ministerio de Justicia promueva el desarrollo y la utilización de herramientas de seguridad informática y productos o programas específicos a propuesta del C.C.N.
En este sentido, la S.G.N.T.J. podrá realizar pruebas a dichas herramientas y programas que le permitan, llegado el caso, completar la funcionalidad de las mismas para utilizarlos en su ámbito de actuación.
c) Actuaciones de implementación y funcionamiento de una Oficina de Seguridad.
Implementación y funcionamiento por el C.N.I. en colaboración directa con la S.G.N.T.J., de una Oficina de Seguridad encargada de la estrategia, gestión, y operación de sistemas, servicios y redes T.I.C. de la Administración de Justicia que procesan, almacenan o transmiten información en formato electrónico, y que incluyen medios de cifra, con la finalidad de incrementar sus niveles de seguridad.
Las actuaciones de implementación y funcionamiento engloban todas las actividades estratégicas, de gestión, y operativas en materia de seguridad de la Oficina de Seguridad y singularmente:
– A nivel estratégico: Elaboración por el C.C.N. del Plan Director de Seguridad para el ámbito de actuación del convenio.
– A nivel de gestión: Análisis y definición de cuadros de mando de seguridad según los criterios e información suministrados por la S.G.N.T.J.; desarrollo, publicación y difusión de la normativa de seguridad; elaboración de los planes de adecuación de sistemas, desarrollo del plan de continuidad de negocio; análisis y gestión de riesgos y el seguimiento y apoyo a la implantación de las medidas a aplicar como resultado del Plan Director de Seguridad, por parte del C.C.N. según los criterios e información suministrados por la S.G.N.T.J.
– A nivel operativo: Ejecución de auditorías de cumplimiento normativo y auditorías técnicas de seguridad, asesoría tecnológica, formación y concienciación del personal, según criterios e información suministrados por la S.G.N.T.J.
d) Actuaciones de implementación y operación de un Centro de Operaciones de Ciberseguridad (en adelante S.O.C.).
A nivel operativo: definición e implantación del SOC mediante el que se mejorarán las capacidades de vigilancia y detección de incidentes en los sistemas de la S.G.N.T.J y se optimizará la capacidad de reacción y respuesta ante cualquier ataque, de conformidad con los criterios e información suministrada por la S.G.N.T.J.
Por su naturaleza centralizada, el S.O.C. facilitará tanto la implantación de las herramientas y/o tecnologías más adecuadas en cada momento, como la adopción de las medidas oportunas para una defensa eficiente.
La dirección y gestión del S.O.C. corresponde al Ministerio de Justicia, en el que el C.C.N.-C.E.R.T., como C.E.R.T. gubernamental nacional, actúa como prestador del servicio según las competencias del Real Decreto 3/2010, de 8 de enero, regulador del Esquema Nacional de Seguridad, modificado por el Real
Decreto 951/2015, de 23 de octubre, de modificación del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, y bajo la supervisión de la S.G.N.T.J, en cumplimiento además del convenio de colaboración entre
ambos organismos.
En cumplimiento de lo establecido por la Secretaría General de Administración Digital de considerar los servicios de seguridad como servicios compartidos, este SOC operará como una extensión del Centro de Operaciones de Ciberseguridad de la Administración General del Estado (S.O.C.-A.G.E.) tendiendo de manera progresiva a unificar y converger las diferentes actuaciones de seguridad que se proporcionen.
El convenio recoge mecanismos de seguimiento, vigilancia y control del mismo y la confidencialidad de la información y protección de datos que intercambien la SGNTJ y el CCN.