Información institucional.

Politica de Seguridade do Parlamento de Galicia

Acordo da Mesa do Parlamento de Galicia, do 23 de xaneiro do 2017, polo que se aproban as Normas sobre a política de seguridade da información do Parlamento de Galicia

O Parlamento de Galicia depende dos sistemas TIC (Tecnoloxías de Información e Comunicacións) para alcanzar os seus obxectivos. Estes sistemas deben ser administrados con dilixencia, tomando as medidas adecuadas para protexelos fronte a danos accidentais ou deliberados que poidan afectar á dispoñibilidade, integridade ou confidencialidade da información tratada ou os servizos prestados.

O obxectivo da seguridade da información é garantir a calidade da información e a prestación continuada dos servizos, actuando preventivamente, supervisando a actividade diaria e reaccionando con presteza aos incidentes.

Os sistemas TIC deben estar protexidos contra ameazas de rápida evolución con potencial para incidir na confidencialidade, integridade, dispoñibilidade, uso previsto e valor da información e os servizos. Para defenderse destas ameazas, requírese unha estratexia que se adapte aos cambios nas condicións da contorna para garantir a prestación continua dos servizos. Isto implica que os departamentos deben aplicar as medidas mínimas de seguridade esixidas polo Esquema Nacional de Seguridade, así como realizar un seguimento continuo dos niveis de prestación de servizos, seguir e analizar as vulnerabilidades reportadas, e preparar unha resposta efectiva aos incidentes para garantir a continuidade dos servizos prestados.

Os diferentes departamentos deben cerciorarse de que a seguridade TIC é unha parte integral de cada etapa do ciclo de vida do sistema, desde a súa concepción até a súa retirada de servizo, pasando polas decisións de desenvolvemento ou adquisición e as actividades de explotación. Os requisitos de seguridade e as necesidades de financiamento, deben ser identificados e incluídos na planificación, na solicitude de ofertas, e en pregos de licitación para proxectos de TIC.

Os departamentos deben estar preparados para previr, detectar, reaccionar e recuperarse de incidentes, de acordo ao Artigo 7 do ENS.

Xa que logo, a Mesa do Parlamento de Galicia, ao abeiro do establecido nos artigos 30.1.2ª do Regulamento do Parlamento de Galicia e 22 do Regulamento de organización e funcionamento da administración do Parlamento de Galicia, dispón,

Artigo 1. Prevención

Os departamentos deben evitar, ou polo menos previr na medida do posible, que a información ou os servizos se vexan prexudicados por incidentes de seguridade. Para iso os departamentos deben implementar as medidas mínimas de seguridade determinadas polo ENS, así como calquera control adicional identificado a través dunha avaliación de ameazas e riscos. Estes controis, e os roles e responsabilidades de seguridade de todo o persoal, deben estar claramente definidos e documentados.

Para garantir o cumprimento da política, os departamentos deben:

  • Autorizar os sistemas antes de entrar en operación.
  • Avaliar regularmente a seguridade, incluíndo avaliacións dos cambios de configuración realizados de forma rutineira.
  • Solicitar a revisión periódica por parte de terceiros co fin de obter unha avaliación independente.

Artigo 2. Detección

Dado que os servizos se poden degradar rapidamente debido a incidentes, que van desde unha simple desaceleración até a súa detención, os servizos deben monitorizar a operación de maneira continua para detectar anomalías nos niveis de prestación dos servizos e actuar en consecuencia segundo o establecido no Artigo 9 do ENS.

A monitorización é especialmente relevante cando se establecen liñas de defensa de acordo co Artigo 8 do ENS. Estableceranse mecanismos de detección, análise e reporte que cheguen aos responsables regularmente e cando se produce unha desviación significativa dos parámetros que se tivesen preestablecido como normais.

Artigo 3. Resposta

Os departamentos deben:

  1. Establecer mecanismos para responder eficazmente ós incidentes de seguridade.
  2. Designar un punto de contacto para as comunicacións con respecto a incidentes detectados noutros departamentos ou noutros organismos.
  3. Establecer protocolos para o intercambio de información relacionada co incidente. Isto inclúe comunicacións, en ambos os sentidos, cos Equipos de Resposta a Emerxencias (CERT).

Artigo 4. Recuperación

Para garantir a dispoñibilidade dos servizos críticos, os departamentos deben desenvolver plans de continuidade dos sistemas TIC como parte do seu plan xeral de continuidade de negocio e actividades de recuperación.

Artigo 5. Alcance

Esta política aplícase a todos os sistemas TIC de o Parlamento de Galicia e a todos os usuarios dos sistemas da información da institución, sen excepcións.

Artigo 6. Misión

O Parlamento de Galicia, como soporte dos principios de seguridade da información establecidos segundo o Esquema Nacional de Seguridade, ofrece os seguintes obxectivos de partida:

  1. Fomentar a relación electrónica do cidadán co Parlamento de Galicia.
  2. Reducir os tempos de espera de atención ao cidadán.
  3. Acurtar os tempos de espera na resolución de trámites solicitados polo cidadán.
  4. Mellorar o uso interno dos sistemas de información do Parlamento de Galicia.
  5. Desenvolver un sistema de xestión de información documental que facilite un rápido acceso do persoal do Parlamento de Galicia á información solicitada polo cidadán, garantindo a seguridade da información en canto á súa integridade, confidencialidade, autenticidade, trazabilidade e dispoñibilidade.
  6. Cumprir cos requisitos esixidos pola normativa nacional de protección de datos de carácter persoal e de impulso das administracións públicas.
  7. Manter, operar e evolucionar un sistema de xestión da seguridade.

Artigo 7. Marco normativo

Esta política enmárcase na seguinte lexislación aplicable:

  1. Real decreto 3/2010, do 8 de xaneiro, polo que se regula o Esquema Nacional de Seguridade no ámbito da administración electrónica (BOE do 29 de xaneiro de 2010).
  2. Real Decreto 951/2015, do 23 de outubro, de modificación do Real Decreto 3/2010, do 8 de xaneiro, polo que se regula o Esquema Nacional de Seguridade no ámbito da Administración Electrónica
  3. Lei 39/2015, do 1 de outubro, do Procedemento Administrativo Común das Administracións Públicas.
  4. Lei 40/2015, do 1 de outubro, de Réxime Xurídico do Sector Público.
  5. Real Decreto 1671/2009, do 6 de novembro, polo que se desenvolve parcialmente a Lei 11/2007, do 22 de xuño, de acceso electrónico dos cidadáns aos servizos públicos
  6. Lei orgánica 15/1999, do 13 de decembro, de protección de datos de carácter persoal.
  7. Real decreto 1720/2007, do 21 de decembro, polo que se aproba o Regulamento de desenvolvemento da Lei orgánica 15/1999, do 13 de decembro, de protección de datos de carácter persoal.

Artigo 8. Organización da seguridad

Comités: funcións e responsabilidades

  1. O Comité Coordinador de Seguridade TIC, é o máximo responsable de seguridade da información e servizos. Este comité terá a seguinte composición:
    1. O responsable da información de administración electrónica (letrado oficial maior)
    2. O responsable do Servizo de Tecnoloxías da Información
    3. Os responsables dos servizos electrónicos
    4. O responsable do Servizo de Persoal e Réxime Interior
    5. O responsable de seguridade da información
    O secretario do Comité de Seguridade TIC será o responsable do Servizo de Tecnoloxías da Información, que se encargará de convocar as reunións do Comité e levantar acta delas.

  2. O Comité de Seguridade TIC informará á Mesa do Parlamento de Galicia e terá as seguintes funcións:
    1. Coordinar e aprobar as accións en materia de seguridade da información.
    2. Impulsar a cultura en seguridade da información.
    3. Participar na categorización dos sistemas e na análise de riscos.
    4. Revisar a documentación relacionada coa seguridade da información.
    5. Resolver discrepancias e problemas que poidan xurdir na xestión da seguridade.
    Roles: funcións e responsabilidades

  3. O Letrado Oficial Maior terá o rol de responsable da información da Organización. As súas funcións serán as seguintes:
    1. Establecemento dos requisitos da información en materia de seguridade.
    2. Traballo en colaboración coa persoa responsable de seguridade e a persoa responsable de sistemas no mantemento dos sistemas catalogados segundo o Anexo I do Esquema Nacional de Seguridade.

  4. O Xefe de Servizo de TI terá o rol de responsable dos servizos TI do Parlamento de Galicia. As súas funcións son as seguintes:
    1. Establecemento dos requisitos dos servizos TI en materia de seguridade.
    2. Traballo en colaboración co responsable de seguridade e os responsables de sistemas no mantemento dos sistemas catalogados segundo o Anexo I do Esquema Nacional de Seguridade.

  5. O Xefe de Servizo de TI será o responsable da seguridade da información. As súas funcións serán as seguintes:
    1. Manter o nivel adecuado de seguridade da información manexada e dos servizos prestados polos sistemas.
    2. Realizar ou promover as auditorías periódicas necesarias para verificar o cumprimento dos requisitos do mesmo.
    3. Xestionar a formación e concienciación en materia de seguridade TIC.
    4. Comprobar a eficacia das medidas de seguridade existentes monitorizando o estado de seguridade dos sistemas.
    5. Revisar, completar e aprobar toda a documentación relacionada coa seguridade dos sistemas.
    6. Apoiar e supervisar a investigación dos incidentes de seguridade desde a súa notificación ata a súa resolución, emitindo informes periódicos sobre os máis relevantes ao Comité de Seguridade.

  6. O Xefe do Servizo de TI e o Técnico Informático do Servizo de TI son os responsables dos sistemas do Parlamento de Galicia. As súas funcións, dentro das súas áreas de actuación, son as seguintes:
    1. Desenvolver, operar e manter o sistema durante todo o seu ciclo de vida, das súas especificacións, instalación e verificación do seu correcto funcionamento.
    2. Definir a topoloxía e política de xestión do sistema establecendo os criterios de uso e os servizos dispoñibles no mesmo.
    3. Definir a política de conexión ou desconexión de equipos e usuarios no sistema.
    4. Aprobar os cambios que afecten á seguridade do modo de operación do sistema.
    5. Decidir as medidas de seguridade que aplicarán os subministradores de compoñentes do sistema durante as etapas de desenvolvemento, instalación e proba do mesmo.
    6. Implantar e controlar as medidas específicas de seguridade do sistema e cerciorarse de que estas se integren adecuadamente dentro do marco xeral de seguridade.
    7. Determinar a configuración autorizada de hardware e software a utilizar no sistema.
    8. Aprobar toda modificación substancial da configuración de calquera elemento do sistema.
    9. Levar a cabo o preceptivo proceso de análise e xestión de riscos no sistema.
    10. Determinar a categoría do sistema segundo o procedemento descrito no Anexo I do ENS e determinar as medidas de seguridade que deben aplicarse segundo se describe no Anexo II do ENS.
    11. Elaborar e aprobar a documentación de seguridade do sistema.
    12. Delimitar as responsabilidades de cada entidade involucrada no mantemento, explotación, implantación e supervisión do sistema.
    13. Investigar os incidentes de seguridade que afecten ao sistema, e no seu caso, a comunicación á persoa responsable de seguridade ou a quen esta determine.
    14. Establecer plans de continxencia e emerxencia, levando a cabo probas para que o persoal se familiarice con eles.

    Artigo 9. Procedementos de designación

    A designación realizarase en base aos postos recollidos nesta Política de Seguridade.

    O Departamento responsable dun servizo que se preste electronicamente de acordo á Lei 11/2007 designará ao Responsable do Sistema, precisando as súas funcións e responsabilidades dentro do marco establecido por esta Política.

    Artigo 10. Política de seguridade da información

    Será misión do Comité de Seguridade TIC a revisión anual desta Política de Seguridade da Información e a proposta de revisión ou mantemento da mesma. A Política será aprobada pola Mesa do Parlamento de Galicia e difundida para que a coñezan todas as partes afectadas.

    Artigo 11. Datos de carácter persoal

    O Parlamento de Galicia trata datos de carácter persoal. O Documento de seguridade do Parlamento de Galicia, ao que terán acceso só as persoas autorizadas, recolle os ficheiros afectados e os responsables correspondentes.

    Todos os sistemas de información do Parlamento de Galicia axustaranse aos niveis de seguridade requiridos pola normativa para a natureza e finalidade dos datos de carácter persoal recollidos no mencionado Documento de Seguridade.

    Artigo 12. Xestión de riscos

    Todos os sistemas suxeitos a esta Política deberán realizar unha análise de riscos, avaliando as ameazas e os riscos aos que están expostos. Esta análise repetirase:

    1. regularmente, polo menos unha vez ao ano
    2. cando cambie a información manexada
    3. cando cambien os servizos prestados
    4. cando ocorra un incidente grave de seguridade
    5. cando se reporten vulnerabilidades graves

    Para a harmonización das análises de riscos, o Comité de Seguridade TIC establecerá unha valoración de referencia para os diferentes tipos de información manexados e os diferentes servizos prestados. O Comité de Seguridade TIC dinamizará a dispoñibilidade de recursos para atender ás necesidades de seguridade dos diferentes sistemas, promovendo investimentos de carácter horizontal.

    Artigo 13. Desenvolvemento da política de seguridade da información

    Esta Política desenvolverase por medio de normativa de seguridade que afronte aspectos específicos. A normativa de seguridade estará a disposición de todos os usuarios dos sistemas da información da institución que necesiten coñecela, en particular para aqueles que utilicen, operen ou administren os sistemas de información e comunicacións.

    A normativa de seguridade estará dispoñible na intranet do Parlamento de Galicia e impresa nas dependencias do Servizo de Tecnoloxías da Información.

    Artigo 14. Obrigacións do persoal

    Todos os usuarios dos sistemas da información do Parlamento de Galicia teñen a obrigación de coñecer e cumprir esta Política de Seguridade da Información e a Normativa de Seguridade, sendo responsabilidade do Comité de Seguridade TIC dispor os medios necesarios para que a información chegue aos afectados.

    Establecerase un programa de concienciación continua para atender a todos os usuarios dos sistemas da información do Parlamento de Galicia, en particular aos de nova incorporación.

    As persoas con responsabilidade no uso, operación ou administración de sistemas TIC recibirán formación para o manexo seguro dos sistemas na medida en que a necesiten para realizar o seu traballo. A formación será obrigatoria antes de asumir unha responsabilidade, tanto se é a súa primeira asignación ou se se trata dun cambio de posto de traballo ou de responsabilidades no mesmo.

    Artigo 15. Terceiras partes

    Cando o Parlamento de Galicia preste servizos a outros organismos ou manexe información doutros organismos, faráselles partícipes desta Política de Seguridade da Información, estableceranse canles para reporte e coordinación dos respectivos Comités de Seguridade TIC e procedementos de actuación para a reacción ante incidentes de seguridade.

    Cando o Parlamento de Galicia utilice servizos de terceiros ou ceda información a terceiros, faráselles partícipes desta Política de Seguridade e da Normativa de Seguridade que incumba a devanditos servizos ou información. Dita terceira parte quedará suxeita ás obrigacións establecidas en dita normativa, podendo desenvolver os seus propios procedementos operativos para satisfacela. Estableceranse procedementos específicos de reporte e resolución de incidencias.

    Garantirase que o persoal de terceiros está adecuadamente concienciado en materia de seguridade, polo menos ao mesmo nivel que o establecido nesta Política.

    Cando algún aspecto da Política non poida ser satisfeito por unha terceira parte segundo se require nos parágrafos anteriores, requirirase un informe do Responsable de Seguridade que precise os riscos en que se incorre e a forma de tratalos. Requirirase a aprobación deste informe polos responsables da información e os servizos afectados antes de seguir adiante.


© Parlamento de Galicia, 2011 | Rúa do Hórreo, 63 - 15701 Santiago de Compostela | Tel.: 981 551 300 Fax: 981 551 408