Logo do parlamento en forma de abanico Parlamento de Galicia

Política de Seguridade do Parlamento de Galicia

CAPITULO I. POLÍTICA DE SEGURIDADE DA INFORMACIÓN DO PARLAMENTO DE GALICIA

Introdución

As leis 39/2015 do Procedemento Administrativo Común das Administracións Públicas e 40/2015 do Réxime Xurídico do Sector Público establecen que a tramitación electrónica dos procedementos debe constituír a acción habitual de todas as Administracións, tanto na súa relación cos cidadáns como na xestión interna e nos intercambios de información entre diferentes organismos. Tamén salientan o documento, arquivo e ficheiro electrónico, que requiren unha profundización da transformación dixital das Administracións Públicas, co consecuente aumento da eficiencia e calidade dos servizos prestados aos cidadáns.

Entre os seus obxectivos tamén está a creación de condicións de confianza no uso dos medios electrónicos. Establece as medidas necesarias para a preservación da integridade dos dereitos fundamentais, especialmente aqueles relacionados coa privacidade e protección de datos persoais, garantindo a seguridade dos sistemas electrónicos, datos, comunicacións e servizos.

Estes obxectivos foron desenvolvidos polo Real Decreto 3/2010, do 8 de xaneiro, polo que se regula o Sistema Nacional de Seguridade (en diante, ENS) no ámbito da Administración Electrónica. Así mesmo, a información procesada nos sistemas electrónicos a que se refire o ENS estará protexida tendo en conta os criterios establecidos na Lei Orgánica 15/1999, do 13 de decembro, de Protección de Datos de Carácter Persoal. O ENS, pola súa banda, establece o marco regulador da Política de Seguridade da Información, que está incorporado nun documento, accesible e comprensible para todos os membros, que define o que significa a seguridade da información nunha determinada organización e que regula o xeito en que unha organización xestiona e protexe información e servizos críticos. A Política de Seguridade debe xerarse de acordo cos requisitos da ENS que establece que todos os órganos superiores das Administracións Públicas deben ter oficialmente unha Política de Seguridade da Información aprobada polo órgano superior competente.

Tendo en conta o anterior, a Política de Seguridade da Información do Parlamento de Galicia rexerase polas seguintes normas:

Artigo 1. Obxecto

1. A finalidade desta Resolución é a aprobación da Política de Seguridade da Información, en diante Política de Seguridade, do Parlamento de Galicia (en diante PG) e do establecemento dun marco organizativo e tecnolóxico para iso.

2. A seguridade entenderase composta por un proceso integral que consiste en todos os elementos técnicos, humanos, materiais e organizativos relacionados cos sistemas de información, excluíndo calquera tipo de accións específicas ou tratamento a curto prazo.

3. Debe ser coñecido e cumprido por todos os usuarios dos sistemas de información do PG, con independencia da posición, cargo e responsabilidade dentro do mesmo.

O Parlamento de Galicia depende dos sistemas TIC (Tecnoloxías de Información e Comunicacións) para alcanzar os seus obxectivos. Estes sistemas deben ser administrados con dilixencia, tomando as medidas adecuadas para protexelos fronte a danos accidentais ou deliberados que poidan afectar á dispoñibilidade, integridade, confidencialidade, autenticidade e trazabilidade da información tratada ou os servizos prestados.

O obxectivo da seguridade da información é garantir a calidade da información e a prestación continuada dos servizos, actuando preventivamente, supervisando a actividade diaria e reaccionando con presteza aos incidentes.

Os sistemas TIC deben estar protexidos contra ameazas de rápida evolución con potencial para incidir na confidencialidade, integridade, dispoñibilidade, uso previsto e valor da información e os servizos. Para defenderse destas ameazas, requírese unha estratexia que se adapte aos cambios nas condicións da contorna para garantir a prestación continua dos servizos. Isto implica que os departamentos deben aplicar as medidas mínimas de seguridade esixidas polo Esquema Nacional de Seguridade, así como realizar un seguimento continuo dos niveis de prestación de servizos, seguir e analizar as vulnerabilidades reportadas, e preparar unha resposta efectiva aos incidentes para garantir a continuidade dos servizos prestados.

Os diferentes departamentos deben cerciorarse de que a seguridade TIC é unha parte integral de cada etapa do ciclo de vida do sistema, desde a súa concepción até a súa retirada de servizo, pasando polas decisións de desenvolvemento ou adquisición e as actividades de explotación. Os requisitos de seguridade e as necesidades de financiamento, deben ser identificados e incluídos na planificación, na solicitude de ofertas, e en pregos de licitación para proxectos de TIC.

Os departamentos deben estar preparados para previr, detectar, reaccionar e recuperarse de incidentes, de acordo ao Artigo 7 do ENS.

Prevención

Os departamentos deben evitar, ou polo menos previr na medida do posible, que a información ou os servizos se vexan prexudicados por incidentes de seguridade. Para iso os departamentos deben implementar as medidas mínimas de seguridade determinadas polo ENS, así como calquera control adicional identificado a través dunha avaliación de ameazas e riscos. Estes controis, e os roles e responsabilidades de seguridade de todo o persoal, deben estar claramente definidos e documentados.

Para garantir o cumprimento da política, os departamentos deben:

  • Autorizar os sistemas antes de entrar en operación.
  • Avaliar regularmente a seguridade, incluíndo avaliacións dos cambios de configuración realizados de forma rutinaria.
  • Solicitar a revisión periódica por parte de terceiros co fin de obter unha avaliación independente.
Detección

Dado que os servizos se poden degradar rapidamente debido a incidentes, que van desde unha simple desaceleración até a súa detención, os servizos deben monitorizar a operación de maneira continua para detectar anomalías nos niveis de prestación dos servizos e actuar en consecuencia segundo o establecido no Artigo 9 do ENS.

A monitorización é especialmente relevante cando se establecen liñas de defensa de acordo co Artigo 8 do ENS. Estableceranse mecanismos de detección, análise e reporte que cheguen aos responsables regularmente e cando se produce unha desviación significativa dos parámetros que se tivesen preestablecido como normais.

Resposta

Os departamentos deben:

  • Establecer mecanismos para responder eficazmente ós incidentes de seguridade.
  • Designar un punto de contacto para as comunicacións con respecto a incidentes detectados noutros departamentos ou noutros organismos.
  • Establecer protocolos para o intercambio de información relacionada co incidente. Isto inclúe comunicacións, en ambos os sentidos, cos Equipos de Resposta a Emerxencias (CERT).
Recuperación

Para garantir a dispoñibilidade dos servizos, disporanse os medios e técnicas necesarios que garantan a recuperación dos servizos máis críticos.

Artigo 2. Alcance

Esta política aplícase a todos os sistemas TIC de o Parlamento de Galicia e a todos os usuarios dos sistemas da información da institución, sen excepcións.

Artigo 3. Misión

O Parlamento de Galicia, como soporte dos principios de seguridade da información establecidos segundo o Esquema Nacional de Seguridade, ofrece os seguintes obxectivos de partida:

  • Fomentar a relación electrónica do cidadán co Parlamento de Galicia.
  • Reducir os tempos de espera de atención ao cidadán.
  • Acurtar os tempos de espera na resolución de trámites solicitados polo cidadán.
  • Mellorar o uso interno dos sistemas de información do Parlamento de Galicia.
  • Desenvolver un sistema de xestión de información documental que facilite un rápido acceso do persoal do Parlamento de Galicia á información solicitada polo cidadán, garantindo a seguridade da información en canto á súa integridade, confidencialidade, autenticidade, trazabilidade e dispoñibilidade.
  • Cumprir cos requisitos esixidos pola normativa nacional de protección de datos de carácter persoal e de impulso das administracións públicas.
  • Manter, operar e evolucionar un sistema de xestión da seguridade.

Artigo 4. Marco normativo

Esta política enmárcase na seguinte lexislación aplicable, sen prexuízo da aplicación da lexislación autonómica que corresponda e da normativa propia do Parlamento de Galicia:

  • Real Decreto 3/2010, de 8 de xaneiro, polo que se regula o Esquema Nacional de Seguridade no ámbito da administración electrónica.
  • Real Decreto 951/2015, de 23 de outubro, de modificación do Real Decreto 3/2010, de 8 de xaneiro, polo que se regula o Esquema Nacional de Seguridade no ámbito da administración electrónica.
  • Resolución de 13 de outubro de 2016, da Secretaría de Estado das Administracións Públicas, pola que se aproba a Instrución Técnica de Seguridade de conformidade co Esquema Nacional de Seguridade.
  • Resolución de 7 de outubro de 2016, da Secretaría de Estado de Administracións Públicas, pola que se aproba a Instrución Técnica de Seguridade de Informe do Estado da Seguridade.
  • Lei Orgánica 15/1999 de 13 de decembro de Protección de Datos de Carácter Persoal.
  • Real Decreto 1720/2007, de 21 de decembro, polo que se aproba o Regulamento de desenvolvemento da Lei Orgánica 15/1999 de Protección de Datos de Carácter Persoal.
  • Lei 34/2002, de 11 de xullo, de servicios da sociedade da información e do comercio electrónico.
  • Lei 9/2014, de 9 de maio, Xeral de Telecomunicacións.
  • Real Decreto 1671/2009, de 6 de novembro, polo que se desenvolve parcialmente a Lei 11/2007, de 22 de xuño, de acceso electrónico dos cidadáns aos servizos públicos.
  • Lei 37/2007, de 16 de novembro, sobre reutilización da información do sector público.
  • Lei 25/2007, de 18 de outubro, de conservación de datos relativos as comunicacións electrónicas e as redes públicas de comunicacións.
  • Real Decreto Lexislativo 1/1996, de 12 de abril, polo que se aproba o Texto Refundido da Lei de Propiedade Intelectual.
  • Real Decreto Lexislativo 5/2015, de 30 de outubro, polo que se aproba o texto refundido da Lei do Estatuto Básico do Empregado Público.
  • Lei 59/2003, de 19 de decembro, de firma electrónica.
  • Real Decreto 1553/2005, de 23 de decembro, polo que se regula o documento nacional de identidade e os seus certificados de firma electrónica.
  • Lei 56/2007, de 28 de decembro, de Medidas de Impulso da sociedade da Información.
  • Lei 19/2013, de 9 de decembro, de Transparencia, Acceso a Información Pública e Bo Goberno.
  • Lei 39/2015, de 1 de outubro, do Procedemento Administrativo Común das Administracións Públicas.
  • Lei 40/2015, de 1 de outubro, de Réxime xurídico do Sector Público.
  • Regulamento (UE) 2016/679 do Parlamento Europeo e do Consello de 27 de abril de 2016 relativo a protección das persoas físicas no que respecta ao tratamento de datos persoais e a libre circulación de estes datos e polo que se derroga a Directiva 95/46/CE (Regulamento xeral de protección de datos).
  • Lei 9/2017, do 8 de novembro, de Contratos do Sector Público, pola que se transpoñen ao ordenamento xurídico español as Directivas do Parlamento Europeo e do Consello 2014/23/UE e 2014/24/UE, do 26 de febreiro de 2014

CAPITULO II. ORGANIZACIÓN DA SEGURIDADE

Artigo 5. Comité Coordinador de Seguridade TIC

O Comité Coordinador de Seguridade TIC, é o máximo responsable de seguridade da información e servizos. Este comité terá a seguinte composición:

  • O responsable da información de administración electrónica
  • O responsable do Servizo de Tecnoloxías da Información
  • Os responsables dos servizos electrónicos
  • O responsable do Servizo de Persoal e Réxime Interior
  • O responsable de seguridade da información
  • A delegada de protección de datos

O secretario do Comité de Seguridade TIC será o responsable do Servizo de Tecnoloxías da Información, que se encargará de convocar as reunións do Comité e levantar acta delas.

O Comité de Seguridade TIC informará á Mesa do Parlamento de Galicia e, indicadas no RD 3/2010, terá as seguintes funcións:

  • Coordinar e aprobar as accións en materia de seguridade da información, o que inclue polo menos, unha revisión anual da política de seguridade.
  • Impulsar a cultura en seguridade da información. Garantir a divulgación da política e normativa de seguridade da organización
  • Participar na categorización dos sistemas e na análise de riscos.
  • Revisar a documentación relacionada coa seguridade da información.
  • Resolver discrepancias e problemas que poidan xurdir na xestión da seguridade.
  • Desenvolver o procedemento de designación de roles

Artigo 6. Roles: Funcións e Responsabilidades

O Responsable da información

As súas funcións serán as seguintes:

  • Establecemento dos requisitos da información en materia de seguridade.
  • Identificar, avaliar e aprobar a información dos cidadáns, ou doutras administracións públicas, que sexa tratada polo PG
  • Terá en conta o estado de seguridade da información tratada.
  • Comunicará ao goberno da organización a necesidade de suspender un servizo por aquelas violacións de seguridade que afectaran a información tratada.
  • Traballo en colaboración coa persoa responsable de seguridade e a persoa responsable de sistemas no mantemento dos sistemas catalogados segundo o Anexo I do Esquema Nacional de Seguridade.
Os Responsables dos servizos

As súas funcións son as seguintes:

  • Establecemento dos requisitos dos servizos TI en materia de seguridade.
  • Identificar, avaliar e aprobar os servizos tecnolóxicos prestados polo PG aos cidadáns, ou a outras administracións públicas.
  • Terá en conta o estado de seguridade dos servizos prestados.
  • Comunicará ao goberno da organización a necesidade de suspender un servizo por aquelas violacións de seguridade que afectaran ao propio servizo.
  • Traballo en colaboración co responsable de seguridade e os responsables de sistemas no mantemento dos sistemas catalogados segundo o Anexo I do Esquema Nacional de Seguridade.
O responsable de seguridade da información

As súas funcións serán as seguintes:

  • Aconsellar aos responsables correspondentes, na identificación da información e os servizos, así como na avaliación dos niveis de seguridade necesarios para a información e o servizo.
  • Realizar a categorización do sistema no PG.
  • Elaborar a política de seguridade.
  • Realizar análises de risco dos sistemas de información segundo determina as normas de seguridade anexas ao Esquema Nacional de Seguridade
  • Elaborar o documento de aplicabilidade do Esquema Nacional de Seguridade
  • Establecer as medidas de seguridade de acordo co nivel de seguridade resultante.
  • Elaborar os documentos cos procedementos operativos de xestión da seguridade, así como a normativa de uso dos medios que será aprobada pola dirección.
  • Revisar a posta en marcha dos procedementos de xestión de seguridade, así como a súa avaliación no transcurso do ciclo de vida dos sistemas de información.
  • Elaborar os plans de mellora da seguridade.
O Responsable do Sistema TI

As súas funcións, dentro das súas áreas de actuación, son as seguintes:

  • A implantación de medidas de seguridade de carácter técnico que tería estipulado como necesarias o Responsable de Seguridade.
  • A implantación dos plans de continuidade do servizo, asesorado polo Responsable de Seguridade.
  • A xestión, configuración e actualización, segundo corresponda, do hardware e software no que se basean mecanismos e servizos de seguridade do sistema de información.
  • A xestión das autorizacións concedidas aos usuarios do sistema, en particular os privilexios concedidos, incluído o control de que a actividade desenvolvida no sistema cumpre co que está autorizado.
  • A aplicación dos procedementos operativos de seguridade.
  • A aprobación dos cambios na configuración actual do Sistema de Información.
  • Asegurarse de que se cumpran os controis de seguridade establecidos estrictamente.
  • Asegurarse de que se aplican os procedementos aprobados para xestionar o sistema de información.
  • Supervisar as instalacións de hardware e software, as súas modificacións e melloras para asegurar que a seguridade non sexa comprometidos e en todo momento cumpren coas autorizacións relevante.
  • A monitorización do estado de seguridade do sistema, sempre polas ferramentas e mecanismos de xestión de eventos de seguridade e auditorías técnicas que se implementaron.
A Delegada de Protección de datos

As súas funcións serán as seguintes:

  • Informar e asesorar o responsable ou o encargado do tratamento e os empregados que se ocupen do tratamento das obrigas que lles incumben en virtude do RXPD e doutras disposicións de protección de datos da Unión ou dos Estados membros.
  • Supervisar o cumprimento do disposto no Regulamento, doutras disposicións de protección de datos da Unión ou dos Estados membros e das políticas do responsable ou do encargado do tratamento en materia de protección de datos persoais.
  • Ofrecer o asesoramento que se lle solicite acerca da avaliación de impacto relativa á protección de datos e supervisar a súa aplicación.
  • Cooperar coa autoridade de control.
  • Actuar como punto de contacto coa autoridade de control para cuestións relativas ao tratamento.

Artigo 7. Resolución de Conflitos

No caso de conflito entre as diferentes partes, este resolverase polo superior xerárquico dos mesmos. En ausencia do anterior, prevalecerá a decisión do responsable de seguridade.

A Delegada de protección de datos reportará directamente á Mesa do Parlamento de Galicia.

Artigo 8. Procedementos de designación

As designación para os distintos roles detállanse a continuación:

  • A persoa titular de Oficialia Maior terá o rol de responsable da información do PG.
  • A persoa titular do Servizo de Persoal e Réxime Interior terá o rol de responsable dos servizos do PG.
  • A persoa titular do Servicio de Tecnoloxías da Información terá o rol responsable de seguridade da información.
  • A persoa responsable dos sistemas TI será nomeado polo Letrado Oficial Maior do PG a proposta do Comité Coordinador de Seguridade TIC.
  • Os nomeamentos serán revisados cada dous anos ou cando un dos postos quede vacante.

Artigo 9. Obrigacións do persoal

Todos os usuarios dos sistemas da información do Parlamento de Galicia teñen a obrigación de coñecer e cumprir esta Política de Seguridade da Información e a Normativa de Seguridade, sendo responsabilidade do Comité de Seguridade TIC dispor os medios necesarios para que a información chegue aos afectados.

Establecerase un programa de concienciación continua para atender a todos os usuarios dos sistemas da información do Parlamento de Galicia, en particular aos de nova incorporación.

As persoas con responsabilidade no uso, operación ou administración de sistemas TIC recibirán formación para o manexo seguro dos sistemas na medida en que a necesiten para realizar o seu traballo. A formación será obrigatoria antes de asumir unha responsabilidade, tanto se é a súa primeira asignación ou se se trata dun cambio de posto de traballo ou de responsabilidades no mesmo.

O manifesto incumprimento da Política de Seguridade da Información ou da normativa e os procedementos derivados delas, poden levar ao inicio de medidas disciplinarias adecuadas e, se é o caso, a outras medidas legais de aplicación.

Artigo 10. Política de Seguridade da Información

Será misión do Comité Coordinador de Seguridade TIC a revisión anual desta Política de Seguridade da Información e a proposta de revisión ou mantemento da mesma. A Política será aprobada pola Mesa do Parlamento de Galicia e difundida para que a coñezan todas as partes afectadas.

Artigo 11. Normativa e procedementos de seguridade da información

Será misión do Comité Coordinador de Seguridade TIC a revisión e mantemento das Normas técnicas de Seguridade e Procedementos Técnicos de Seguridade da Información. As Normas e Procedementos técnicos de Seguridade serán aprobados polo propio Comité Coordinador de Seguridade TIC e difundidos para que a coñezan todas as partes afectadas.

Artigo 12. Cualificación da documentación

Para facilitar o nivel de privacidade dos documentos do propio sistema de xestión da seguridade (política, normativa, ...) establécense 4 niveis de privacidade:

  • Pública: información que se pode difundir libremente dentro e fóra do organismo e cuxa divulgación non afecta á institución en termos de perda de imaxe e/ou económica.
  • Interna: información que, sen ser confidencial nin restrinxida, debe manterse no ámbito interno do organismo e non debe estar dispoñible externamente, excepto a terceiras partes involucradas previo compromiso de confidencialidade e coñecemento do propietario da mesma.
  • Restrinxida: información sensible, interna a áreas ou proxectos aos que debe ter acceso controlado un grupo reducido de persoas e non toda a organización.
  • Confidencial: información de alta sensibilidade que debe ser protexida pola súa relevancia sobre decisións estratéxicas, impacto financeiro, oportunidades de negocio, potencial de fraude ou requisitos legais.

Calquera información non clasificada tratarase por defecto como Interna, polo que a súa divulgación deberá estar autorizada polo seu propietario.

Para a súa etiquetaxe, designarase un código na cabeceira do documento para identificar o nivel de exposición: Ref.PUB = Publica, Ref.INT = Interna, Ref.RES = Reservado e Ref.CONF = Confidencial.

CAPITULO III. PROTECCION DE DATOS, FORMACIÓN E XESTIÓN

Artigo 13. Datos de carácter persoal

O Parlamento de Galicia trata datos de carácter persoal. O Documento de seguridade do PG, ao que terán acceso só as persoas autorizadas, recolle os ficheiros afectados e os responsables correspondentes.

Todos os sistemas de información do PG axustaranse aos niveis de seguridade requiridos pola normativa para a natureza e finalidade dos datos de carácter persoal recollidos no mencionado Documento de Seguridade, conforme ao Título VIII das medidas de seguridade no tratamento de datos de carácter persoal do Real Decreto 1720/2007, de 21 de decembro, polo que se aproba o Regulamento de Desenvolvemento da Lei Orgánica 15/1999, de 13 de decembro, de Protección de Datos de Carácter Persoal.

Artigo 14. Xestión de riscos

Todos os sistemas suxeitos a esta Política deberán realizar unha análise de riscos, avaliando as ameazas e os riscos aos que están expostos. Esta análise repetirase:

  • regularmente, polo menos unha vez ao ano
  • cando cambie a información manexada
  • cando cambien os servizos prestados
  • cando ocorra un incidente grave de seguridade
  • cando se reporten vulnerabilidades graves

O Responsable de Seguridade establecerá unha valoración de referencia para os diferentes tipos de información manexados e os diferentes servizos prestados, que elaborará conxuntamente co responsable de sistema TI e os administradores da seguridade (sistemas e comunicación), e comunicará o Comité Coordinador da Seguridade TIC.

O Comité Coordinador de Seguridade TIC dinamizará a dispoñibilidade de recursos para atender ás necesidades de seguridade dos diferentes sistemas, promovendo investimentos de carácter horizontal.

Artigo 15. Desenvolvemento da política de seguridade da información

Esta Política desenvolverase por medio de normativa de seguridade que afronte aspectos específicos. A normativa de seguridade estará a disposición de todos os usuarios dos sistemas da información da institución que necesiten coñecela, en particular para aqueles que utilicen, operen ou administren os sistemas de información e comunicacións.

A normativa de seguridade estará dispoñible na intranet do Parlamento de Galicia e impresa nas dependencias do Servizo de Tecnoloxías da Información.

Artigo 16. Terceiras partes

Cando o Parlamento de Galicia preste servizos a outros organismos ou manexe información doutros organismos, faráselles partícipes desta Política de Seguridade da Información, estableceranse canles para reporte e coordinación dos respectivos Comités de Seguridade TIC e procedementos de actuación para a reacción ante incidentes de seguridade.

Cando o Parlamento de Galicia utilice servizos de terceiros ou ceda información a terceiros, faráselles partícipes desta Política de Seguridade e da Normativa de Seguridade que incumba a devanditos servizos ou información. Dita terceira parte quedará suxeita ás obrigacións establecidas en dita normativa, podendo desenvolver os seus propios procedementos operativos para satisfacela. Estableceranse procedementos específicos de reporte e resolución de incidencias.

Garantirase que o persoal de terceiros está adecuadamente concienciado en materia de seguridade, polo menos ao mesmo nivel que o establecido nesta Política.

Cando algún aspecto da Política non poida ser satisfeito por unha terceira parte segundo se require nos parágrafos anteriores, requirirase un informe do Responsable de Seguridade que precise os riscos en que se incorre e a forma de tratalos. Requirirase a aprobación deste informe polos responsables da información e os servizos afectados antes de seguir adiante.

Cooperación entre organismos e outras Administracións Públicas: a efectos de intercambiar experiencias e obter asesoramento para a mellora das prácticas e controles de seguridade, o PG poderá manter contactos periódicos con organismos ou entidades especializadas en temas de seguridade como poden ser o INCIBE, CCN e outros.

Disposición derrogatoria

Estas normas deixan sen efecto calquera acordo ou norma en materia de política de seguridade adoptados pola Mesa do Parlamento de Galicia.

Texto aprobado o día 13 de decembro de 2017 pola Mesa do Parlamento de Galicia.

Esta Política se Seguridade da Información é efectiva desde devandita data e ata que sexa substituída por unha nova Política.