As Lei 39/2015, do 1 de outubro, do procedemento administrativo común das administracións públicas, e a Lei 40/2015, do 1 de outubro, do Réxime Xurídico do Sector Público, establecen que a tramitación electrónica dos procedementos debe constituír a acción habitual de todas as Administracións, tanto na súa relación cos cidadáns como na xestión interna e nos intercambios de información entre diferentes organismos. Tamén salientan o documento, arquivo e ficheiro electrónico, que requiren un afondamento da transformación dixital das Administracións Públicas, co consecuente aumento da eficiencia e calidade dos servizos prestados á cidadanía.
Entre os seus obxectivos tamén está a creación de condicións de confianza no uso dos medios electrónicos. Establece as medidas necesarias para a preservación da integridade dos dereitos fundamentais, especialmente aqueles relacionados coa privacidade e protección de datos persoais, garantindo a seguridade dos sistemas electrónicos, datos, comunicacións e servizos.
Estes obxectivos foron desenvolvidos polo Real Decreto 311/2022, do 3 de maio, polo que se regula o Sistema Nacional de Seguridade (en diante, ENS) no ámbito da Administración Electrónica. Así mesmo, a información procesada nos sistemas electrónicos a que se refire o ENS estará protexida tendo en conta os criterios establecidos na Lei Orgánica 3/2018, de 5 de decembro, de Protección de Datos Persoais e garantía dos dereitos dixitais. O ENS, pola súa banda, establece o marco regulador da Política de Seguridade da Información, que está incorporado nun documento, accesible e comprensible para todos os membros, que define o que significa a seguridade da información nunha determinada organización e que regula o xeito en que unha organización xestiona e protexe información e servizos críticos. A Política de Seguridade debe xerarse de acordo cos requisitos da ENS que establece que todos os órganos superiores das Administracións Públicas deben ter oficialmente unha Política de Seguridade da Información aprobada polo órgano superior competente.
Tendo en conta o anterior, a Política de Seguridade da Información do Parlamento de Galicia rexerase polas seguintes normas:
1. A finalidade desta Resolución é a aprobación da Política de Seguridade da Información (en diante Política de Seguridade) do Parlamento de Galicia (en diante PG) e do establecemento dun marco organizativo e tecnolóxico para iso.
2. A seguridade entenderase composta por un proceso integral que consiste en todos os elementos técnicos, humanos, materiais e organizativos relacionados cos sistemas de información, do que se exclúe calquera tipo de accións específicas ou tratamento a curto prazo.
3. Debe ser coñecido e cumprido por todos os usuarios dos sistemas de información do PG, con independencia da posición, cargo e responsabilidade dentro del. O Parlamento de Galicia depende dos sistemas TIC (tecnoloxías da información e da comunicación) para alcanzar os seus obxectivos. Estes sistemas deben ser administrados con dilixencia, tomando as medidas adecuadas para protexelos fronte a danos accidentais ou deliberados que poidan afectar a dispoñibilidade, a integridade, a confidencialidade, a autenticidade e a rastrexabilidade da información tratada ou dos servizos prestados.
O obxecto último da seguridade da información é garantir que o Parlamento de Galicia poida cumprir os seus obxectivos, desenvolver as súas funcións e exercer as súas competencias utilizando sistemas de información. Por iso, en materia de seguridade da información deberán terse en conta os seguintes principios básicos:
O obxectivo da seguridade da información é garantir a calidade da información e a prestación continuada dos servizos, actuando preventivamente, supervisando a actividade diaria e reaccionando con presteza aos incidentes.
Os sistemas TIC deben estar protexidos contra ameazas de rápida evolución con potencial para incidir na confidencialidade, integridade, dispoñibilidade,na rastrexabilidade, no uso previsto e no valor da información e os servizos. Para defenderse destas ameazas, requírese unha estratexia que se adapte aos cambios nas condicións da contorna para garantir a prestación continua dos servizos. Isto implica que os departamentos deben aplicar as medidas mínimas de seguridade esixidas polo Esquema Nacional de Seguridade, así como realizar un seguimento continuo dos niveis de prestación de servizos, seguir e analizar as vulnerabilidades reportadas, e preparar unha resposta efectiva aos incidentes para garantir a continuidade dos servizos prestados.
Os diferentes departamentos deben asegurarse de que a seguridade TIC é unha parte integral de cada etapa do ciclo de vida do sistema, desde a súa concepción até a súa retirada de servizo, pasando polas decisións de desenvolvemento ou adquisición e as actividades de explotación. Os requisitos de seguridade e as necesidades de financiamento, deben ser identificados e incluídos na planificación, na solicitude de ofertas, e en pregos de licitación para proxectos de TIC.
Os departamentos deben estar preparados para previr, detectar, reaccionar e recuperarse de incidentes, de acordo ao Artigo 8 do ENS.
Os departamentos deben evitar, ou polo menos previr na medida do posible, que a información ou os servizos se vexan prexudicados por incidentes de seguridade. Para iso os departamentos deben implementar as medidas mínimas de seguridade determinadas polo ENS, así como calquera control adicional identificado a través dunha avaliación de ameazas e riscos. Estes controis, e os roles e responsabilidades de seguridade de todo o persoal, deben estar claramente definidos e documentados.
Para garantir o cumprimento da política, os departamentos deben:
Dado que os servizos se poden degradar rapidamente debido a incidentes, que van desde unha simple desaceleración até a súa detención, os servizos deben monitorizar a operación de maneira continua para detectar anomalías nos niveis de prestación dos servizos e actuar en consecuencia segundo o establecido no Artigo 10 do ENS.
A monitorización é especialmente relevante cando se establecen liñas de defensa de acordo co Artigo 9 do ENS. Estableceranse mecanismos de detección, análise e reporte que cheguen aos responsables regularmente e cando se produce unha desviación significativa dos parámetros que se preestablecesen como normais.
Os departamentos deben:
Para garantir a dispoñibilidade dos servizos, disporanse os medios e técnicas necesarios que garantan a recuperación dos servizos máis críticos.
Esta política aplícase a todos os sistemas TIC do Parlamento de Galicia e a todas as persoas usuarias dos sistemas da información da institución, sen excepcións.
O Parlamento de Galicia, como soporte dos principios de seguridade da información establecidos segundo o Esquema Nacional de Seguridade, ofrece os seguintes obxectivos de partida:
A base regulatoria que afecta ao desenvolvemento das actividades do Parlamento de Galicia, e que implica a implementación explícita de medidas de seguridade nos sistemas de información, está constituída pola lexislación do procedemento administrativo e réxime xurídico do sector público, polo regulamento de protección de datos persoais, polas normativas e instrucións técnicas en materia de seguridade no ámbito da administración electrónica e outras normativas sectoriais que resulten de aplicación.
As normas que integran o devandito marco recóllense nun rexistro a tales efectos, o cal se mantén actualizado.
O Comité Coordinador de Seguridade TIC, é o máximo responsable de seguridade da información e servizos. Este comité terá a seguinte composición:
O secretario ou a secretaria do Comité de Seguridade TIC será a persoa responsable do Servizo de Tecnoloxías da Información, que se encargará de convocar as reunións do Comité e levantar acta delas.
O Comité de Seguridade TIC informará á Mesa do Parlamento de Galicia e, indicadas no Real Decreto 311/2022, terá as seguintes funcións:
As súas funcións serán as seguintes:
As súas funcións son as seguintes:
As súas funcións serán as seguintes:
As súas funcións, dentro das súas áreas de actuación, son as seguintes:
As súas funcións serán as seguintes:
No caso de conflito entre as diferentes partes, este resolverase polo superior xerárquico destas. En ausencia do anterior prevalecerá a decisión da persoa responsable de seguridade.
A persoa delegada de protección de datos reportará directamente á Mesa do Parlamento de Galicia.
As designación para os distintos roles detállanse a continuación:
Todos as persoas usuarias dos sistemas da información do Parlamento de Galicia teñen a obrigación de coñecer e cumprir esta Política de Seguridade da Información e a Normativa de Seguridade, sendo responsabilidade do Comité de Seguridade TIC dispor os medios necesarios para que a información chegue aos afectados.Estas obrigacións mantéñense tanto no período durante o cal se ocupa un posto, así como posteriormente, ou no caso de rescisión da cesión ou traslado a outro emprego.
Establecerase un programa de concienciación continua para atender a todos as persoas usuarias dos sistemas da información do Parlamento de Galicia, en particular aos de nova incorporación.
As persoas con responsabilidade no uso, operación ou administración de sistemas TIC recibirán formación para o manexo seguro dos sistemas na medida en que a necesiten para realizar o seu traballo. A formación será obrigatoria antes de asumir unha responsabilidade, tanto se é a súa primeira asignación ou se se trata dun cambio de posto de traballo ou de responsabilidades neste.
O manifesto incumprimento da Política de Seguridade da Información ou da normativa e os procedementos derivados delas, poden levar ao inicio de medidas disciplinarias adecuadas e, se é o caso, a outras medidas legais de aplicación.
Será misión do Comité Coordinador de Seguridade TIC a revisión anual desta Política de Seguridade da Información e a proposta de revisión ou mantemento da mesma. A Política será aprobada pola Mesa do Parlamento de Galicia e difundida para que a coñezan todas as partes afectadas.
Será misión do Comité Coordinador de Seguridade TIC a revisión e mantemento das Normas técnicas de Seguridade e Procedementos Técnicos de Seguridade da Información. As Normas e Procedementos técnicos de Seguridade serán aprobados polo propio Comité Coordinador de Seguridade TIC e difundidos para que a coñezan todas as partes afectadas.
Para facilitar o nivel de privacidade dos documentos do propio sistema de xestión da seguridade (política, normativa, ...) establécense 3 niveis de privacidade:
Calquera información non clasificada tratarase por defecto como pública.
Para a súa etiquetaxe, designarase un código na cabeceira do documento para identificar o nivel de exposición: Ref.PUB = Publica, Ref.INT = Interna e Ref.CONF = Confidencial.
O Parlamento de Galicia trata datos de carácter persoal. O Rexistro de Actividades de Tratamento, recollerá os ficheiros afectados e os responsables correspondentes, e estará accesible a través da internet no enderezo www.parlamentodegalicia.es, baixo o epígrafe de “Protección de datos”.
Todos os sistemas de información do PG axustaranse aos niveis de seguridade requiridos pola normativa para a natureza e finalidade dos datos de carácter persoal recollidos no Rexistro de Actividades de Tratamento, conforme ao establecido pola Lei Orgánica 3/2018, de 5 de decembro, de Protección de Datos Persoais e garantía dos dereitos dixitais.
A obrigación de confidencialidade respecto aos datos de carácter persoal mantéñense no período durante o que se realiza o traballo, así como posteriormente, en caso de rescisión da asignación ou traslado a outro posto de traballo.
Todos os sistemas suxeitos a esta Política deberán realizar unha análise de riscos, avaliando as ameazas e os riscos aos que están expostos. Esta análise repetirase:
A persoa responsable de Seguridade establecerá unha valoración de referencia para os diferentes tipos de información manexados e os diferentes servizos prestados, que elaborará conxuntamente coa persoa responsable de sistema TI e as persoas administradoras da seguridade (sistemas e comunicación), e comunicaralla o Comité Coordinador da Seguridade TIC.
O Comité Coordinador de Seguridade TIC dinamizará a dispoñibilidade de recursos para atender as necesidades de seguridade dos diferentes sistemas, promovendo investimentos de carácter horizontal.
Esta Política desenvolverase por medio de normativa de seguridade que afronte aspectos específicos. A normativa de seguridade estará a disposición de todos os usuarios dos sistemas da información da institución que necesiten coñecela, en particular para aqueles que utilicen, operen ou administren os sistemas de información e comunicacións.
A normativa de seguridade estará dispoñible na intranet do Parlamento de Galicia (http://horreo) e impresa nas dependencias do Servizo de Tecnoloxías da Información.
Cando o Parlamento de Galicia preste servizos a outros organismos ou manexe información doutros organismos, faráselles partícipes desta Política de Seguridade da Información e estableceranse canles para reporte e coordinación dos respectivos Comités de Seguridade TIC e procedementos de actuación para a reacción ante incidentes de seguridade.
Cando o Parlamento de Galicia utilice servizos de terceiros ou ceda información a terceiros, faráselles partícipes desta Política de Seguridade e da Normativa de Seguridade que incumba a devanditos servizos ou información. A devandita terceira parte quedará suxeita ás obrigas establecidas nesa normativa, podendo desenvolver os seus propios procedementos operativos para satisfacela. Estableceranse procedementos específicos de reporte e resolución de incidencias.
Garantirase que o persoal de terceiros está adecuadamente concienciado en materia de seguridade, polo menos ao mesmo nivel que o establecido nesta Política.
Cando algún aspecto da Política non poida ser satisfeito por unha terceira parte segundo se require nos parágrafos anteriores, requirirase un informe da persoa Responsable de Seguridade que precise os riscos en que se incorre e a forma de tratalos. Requirirase a aprobación deste informe polas persoas responsables da información e os servizos afectados antes de seguir adiante.
No ámbito de cooperación entre organismos e outras Administracións Públicas, para a efectos de intercambiar experiencias e obter asesoramento para melloras as prácticas e controles de seguridade, o PG poderá manter contactos periódicos con organismos ou entidades especializadas en temas de seguridade como poden ser o INCIBE, CCN e outros.
Estas normas deixan sen efecto calquera acordo ou norma en materia de política de seguridade adoptados pola Mesa do Parlamento de Galicia.
Esta Política se Seguridade da Información é efectiva desde devandita data e ata que sexa substituída por unha nova Política.