saltar ao contido

Política de Seguridade do Parlamento de Galicia

CAPITULO I. POLÍTICA DE SEGURIDADE DA INFORMACIÓN DO PARLAMENTO DE GALICIA

Introdución

As Lei 39/2015, do 1 de outubro, do procedemento administrativo común das administracións públicas, e a Lei 40/2015, do 1 de outubro, do Réxime Xurídico do Sector Público, establecen que a tramitación electrónica dos procedementos debe constituír a acción habitual de todas as Administracións, tanto na súa relación cos cidadáns como na xestión interna e nos intercambios de información entre diferentes organismos. Tamén salientan o documento, arquivo e ficheiro electrónico, que requiren un afondamento da transformación dixital das Administracións Públicas, co consecuente aumento da eficiencia e calidade dos servizos prestados á cidadanía.

Entre os seus obxectivos tamén está a creación de condicións de confianza no uso dos medios electrónicos. Establece as medidas necesarias para a preservación da integridade dos dereitos fundamentais, especialmente aqueles relacionados coa privacidade e protección de datos persoais, garantindo a seguridade dos sistemas electrónicos, datos, comunicacións e servizos.

Estes obxectivos foron desenvolvidos polo Real Decreto 311/2022, do 3 de maio, polo que se regula o Sistema Nacional de Seguridade (en diante, ENS) no ámbito da Administración Electrónica. Así mesmo, a información procesada nos sistemas electrónicos a que se refire o ENS estará protexida tendo en conta os criterios establecidos na Lei Orgánica 3/2018, de 5 de decembro, de Protección de Datos Persoais e garantía dos dereitos dixitais. O ENS, pola súa banda, establece o marco regulador da Política de Seguridade da Información, que está incorporado nun documento, accesible e comprensible para todos os membros, que define o que significa a seguridade da información nunha determinada organización e que regula o xeito en que unha organización xestiona e protexe información e servizos críticos. A Política de Seguridade debe xerarse de acordo cos requisitos da ENS que establece que todos os órganos superiores das Administracións Públicas deben ter oficialmente unha Política de Seguridade da Información aprobada polo órgano superior competente.

Tendo en conta o anterior, a Política de Seguridade da Información do Parlamento de Galicia rexerase polas seguintes normas:

Artigo 1. Obxecto

1. A finalidade desta Resolución é a aprobación da Política de Seguridade da Información (en diante Política de Seguridade) do Parlamento de Galicia (en diante PG) e do establecemento dun marco organizativo e tecnolóxico para iso.

2. A seguridade entenderase composta por un proceso integral que consiste en todos os elementos técnicos, humanos, materiais e organizativos relacionados cos sistemas de información, do que se exclúe calquera tipo de accións específicas ou tratamento a curto prazo.

3. Debe ser coñecido e cumprido por todos os usuarios dos sistemas de información do PG, con independencia da posición, cargo e responsabilidade dentro del. O Parlamento de Galicia depende dos sistemas TIC (tecnoloxías da información e da comunicación) para alcanzar os seus obxectivos. Estes sistemas deben ser administrados con dilixencia, tomando as medidas adecuadas para protexelos fronte a danos accidentais ou deliberados que poidan afectar a dispoñibilidade, a integridade, a confidencialidade, a autenticidade e a rastrexabilidade da información tratada ou dos servizos prestados.

O obxecto último da seguridade da información é garantir que o Parlamento de Galicia poida cumprir os seus obxectivos, desenvolver as súas funcións e exercer as súas competencias utilizando sistemas de información. Por iso, en materia de seguridade da información deberán terse en conta os seguintes principios básicos:

  • Seguridade como proceso integral.
  • Xestión da seguridade baseada nos riscos.
  • Prevención, detección, resposta e conservación.
  • Existencia de liñas de defensa.
  • Vixilancia continua.
  • Reavaliación periódica.
  • Diferenciación de responsabilidades.
  • Organización e implantación do proceso de seguridade.
  • Análise e xestión dos riscos.
  • Xestión de persoal.
  • Profesionalidade.
  • Autorización e control dos accesos.
  • Protección das instalacións.
  • Adquisición de produtos de seguridade e contratación de servicios de seguridade.
  • Mínimo privilexio.
  • Integridade e actualización do sistema.
  • Protección da información almacenada e en tránsito.
  • Prevención ante outros sistemas de información interconectados.
  • Rexistro de actividade e detección de código daniño.
  • Incidentes de seguridade.
  • Continuidade da actividade.
  • Mellora continua do proceso de seguridade.

O obxectivo da seguridade da información é garantir a calidade da información e a prestación continuada dos servizos, actuando preventivamente, supervisando a actividade diaria e reaccionando con presteza aos incidentes.

Os sistemas TIC deben estar protexidos contra ameazas de rápida evolución con potencial para incidir na confidencialidade, integridade, dispoñibilidade,na rastrexabilidade, no uso previsto e no valor da información e os servizos. Para defenderse destas ameazas, requírese unha estratexia que se adapte aos cambios nas condicións da contorna para garantir a prestación continua dos servizos. Isto implica que os departamentos deben aplicar as medidas mínimas de seguridade esixidas polo Esquema Nacional de Seguridade, así como realizar un seguimento continuo dos niveis de prestación de servizos, seguir e analizar as vulnerabilidades reportadas, e preparar unha resposta efectiva aos incidentes para garantir a continuidade dos servizos prestados.

Os diferentes departamentos deben asegurarse de que a seguridade TIC é unha parte integral de cada etapa do ciclo de vida do sistema, desde a súa concepción até a súa retirada de servizo, pasando polas decisións de desenvolvemento ou adquisición e as actividades de explotación. Os requisitos de seguridade e as necesidades de financiamento, deben ser identificados e incluídos na planificación, na solicitude de ofertas, e en pregos de licitación para proxectos de TIC.

Os departamentos deben estar preparados para previr, detectar, reaccionar e recuperarse de incidentes, de acordo ao Artigo 8 do ENS.

Prevención

Os departamentos deben evitar, ou polo menos previr na medida do posible, que a información ou os servizos se vexan prexudicados por incidentes de seguridade. Para iso os departamentos deben implementar as medidas mínimas de seguridade determinadas polo ENS, así como calquera control adicional identificado a través dunha avaliación de ameazas e riscos. Estes controis, e os roles e responsabilidades de seguridade de todo o persoal, deben estar claramente definidos e documentados.

Para garantir o cumprimento da política, os departamentos deben:

  • Autorizar os sistemas antes de entrar en operación.
  • Avaliar regularmente a seguridade, incluíndo avaliacións dos cambios de configuración realizados de forma rutinaria.
  • Solicitar a revisión periódica por parte de terceiros co fin de obter unha avaliación independente.

Detección

Dado que os servizos se poden degradar rapidamente debido a incidentes, que van desde unha simple desaceleración até a súa detención, os servizos deben monitorizar a operación de maneira continua para detectar anomalías nos niveis de prestación dos servizos e actuar en consecuencia segundo o establecido no Artigo 10 do ENS.

A monitorización é especialmente relevante cando se establecen liñas de defensa de acordo co Artigo 9 do ENS. Estableceranse mecanismos de detección, análise e reporte que cheguen aos responsables regularmente e cando se produce unha desviación significativa dos parámetros que se preestablecesen como normais.

Resposta

Os departamentos deben:

  • Establecer mecanismos para responder eficazmente ós incidentes de seguridade.
  • Designar un punto de contacto para as comunicacións con respecto a incidentes detectados noutros departamentos ou noutros organismos.
  • Establecer protocolos para o intercambio de información relacionada co incidente. Isto inclúe comunicacións, en ambos os sentidos, cos Equipos de Resposta a Emerxencias (CERT).

Recuperación

Para garantir a dispoñibilidade dos servizos, disporanse os medios e técnicas necesarios que garantan a recuperación dos servizos máis críticos.

Artigo 2. Alcance

Esta política aplícase a todos os sistemas TIC do Parlamento de Galicia e a todas as persoas usuarias dos sistemas da información da institución, sen excepcións.

Artigo 3. Misión

O Parlamento de Galicia, como soporte dos principios de seguridade da información establecidos segundo o Esquema Nacional de Seguridade, ofrece os seguintes obxectivos de partida:

  • Fomentar a relación electrónica da cidadanía co Parlamento de Galicia.
  • Reducir os tempos de espera de atención á cidadanía.
  • Acurtar os tempos de espera na resolución de trámites solicitados polo cidadanía.
  • Mellorar o uso interno dos sistemas de información do Parlamento de Galicia.
  • Desenvolver un sistema de xestión de información documental que facilite un rápido acceso do persoal do Parlamento de Galicia á información solicitada pola cidadanía, garantindo a seguridade da información en canto á súa integridade, confidencialidade, autenticidade, rastrexabilidade e dispoñibilidade.
  • Cumprir cos requisitos esixidos pola normativa nacional de protección de datos de carácter persoal e de impulso das administracións públicas.
  • Manter, operar e evolucionar un sistema de xestión da seguridade.

Artigo 4. Marco normativo

A base regulatoria que afecta ao desenvolvemento das actividades do Parlamento de Galicia, e que implica a implementación explícita de medidas de seguridade nos sistemas de información, está constituída pola lexislación do procedemento administrativo e réxime xurídico do sector público, polo regulamento de protección de datos persoais, polas normativas e instrucións técnicas en materia de seguridade no ámbito da administración electrónica e outras normativas sectoriais que resulten de aplicación.

As normas que integran o devandito marco recóllense nun rexistro a tales efectos, o cal se mantén actualizado.

CAPITULO II. ORGANIZACIÓN DA SEGURIDADE

Artigo 5. Comité Coordinador de Seguridade TIC

O Comité Coordinador de Seguridade TIC, é o máximo responsable de seguridade da información e servizos. Este comité terá a seguinte composición:

  • A persoa responsable da información de administración electrónica
  • A persoa responsable do Servizo de Tecnoloxías da Información
  • As persoas responsables dos servizos electrónicos
  • A persoa responsable do Servizo de Persoal e Réxime Interior
  • A persoa responsable de seguridade da información
  • A persoa delegada de protección de datos

O secretario ou a secretaria do Comité de Seguridade TIC será a persoa responsable do Servizo de Tecnoloxías da Información, que se encargará de convocar as reunións do Comité e levantar acta delas.

O Comité de Seguridade TIC informará á Mesa do Parlamento de Galicia e, indicadas no Real Decreto 311/2022, terá as seguintes funcións:

  • Coordinar e aprobar as accións en materia de seguridade da información, o que inclúe, polo menos, unha revisión anual da política de seguridade.
  • Impulsar a cultura en seguridade da información e garantir a divulgación da política e normativa de seguridade da organización
  • Participar na categorización dos sistemas e na análise de riscos.
  • Revisar a documentación relacionada coa seguridade da información.
  • Resolver discrepancias e problemas que poidan xurdir na xestión da seguridade.
  • Desenvolver o procedemento de designación de roles

Artigo 6. Roles: Funcións e Responsabilidades

A persoa responsable da información

As súas funcións serán as seguintes:

  • Establecer os requisitos da información en materia de seguridade.
  • Identificar, avaliar e aprobar a información da cidadanía ou doutras administracións públicas que sexa tratada polo PG
  • Ter en conta o estado de seguridade da información tratada.
  • Comunicarlle ao goberno da organización a necesidade de suspender un servizo por aquelas violacións de seguridade que afectasen a información tratada.
  • Traballar en colaboración coa persoa responsable de seguridade e coas persoas responsables de sistemas no mantemento dos sistemas catalogados segundo o Anexo I do Esquema Nacional de Seguridade.

As persoas responsables dos servizos

As súas funcións son as seguintes:

  • Establecer os requisitos dos servizos TI en materia de seguridade.
  • Identificar, avaliar e aprobar os servizos tecnolóxicos prestados polo PG á cidadanía, ou a outras administracións públicas.
  • Ter en conta o estado de seguridade dos servizos prestados.
  • Comunicarlle ao goberno da organización a necesidade de suspender un servizo por aquelas violacións de seguridade que afectaran ao propio servizo.
  • Traballar en colaboración coa persoa responsable de seguridade e coas persoas responsables de sistemas no mantemento dos sistemas catalogados segundo o Anexo I do Esquema Nacional de Seguridade.

A persoa responsable de seguridade da información

As súas funcións serán as seguintes:

  • Aconsellar aos responsables correspondentes, na identificación da información e os servizos, así como na avaliación dos niveis de seguridade necesarios para a información e o servizo.
  • Realizar a categorización do sistema no PG.
  • Elaborar a política de seguridade.
  • Realizar análises de risco dos sistemas de información segundo determina as normas de seguridade anexas ao Esquema Nacional de Seguridade
  • Elaborar o documento de aplicabilidade do Esquema Nacional de Seguridade
  • Establecer as medidas de seguridade de acordo co nivel de seguridade resultante.
  • Elaborar os documentos cos procedementos operativos de xestión da seguridade, así como a normativa de uso dos medios que será aprobada pola dirección.
  • Revisar a posta en marcha dos procedementos de xestión de seguridade, así como a súa avaliación no transcurso do ciclo de vida dos sistemas de información.
  • Elaborar os plans de mellora da seguridade.

A persoa responsable do Sistema TI

As súas funcións, dentro das súas áreas de actuación, son as seguintes:

  • Implantar de medidas de seguridade de carácter técnico que estipule como necesarias a persoa responsable de Seguridade.
  • Implantar os plans de continuidade do servizo, asesorado pola persoa Responsable de Seguridade.
  • Xestionar, configurar e actualizar, segundo corresponda, do hardware e software no que se basean os mecanismos e os servizos de seguridade do sistema de información.
  • Xestionar as autorizacións concedidas aos usuarios do sistema, en particular os privilexios concedidos, e o control de que a actividade desenvolvida no sistema cumpre co que está autorizado.
  • Aplicar os procedementos operativos de seguridade.
  • Aprobar os cambios na configuración actual do Sistema de Información.
  • Asegurar que se cumpran os controis de seguridade establecidos estrictamente.
  • Asegurar que se aplican os procedementos aprobados para xestionar o sistema de información.
  • Supervisar as instalacións de hardware e software e as súas modificacións e melloras para asegurar que a seguridade non sexa comprometida e en todo momento cumpren coas autorizacións relevante.
  • Monitorizar o estado de seguridade do sistema, sempre mediante as ferramentas e mecanismos de xestión de eventos de seguridade e auditorías técnicas que se implementaron.

A persoa delegada de Protección de datos

As súas funcións serán as seguintes:

  • Informar e asesorar o responsable ou o encargado do tratamento e os empregados que se ocupen do tratamento das obrigas que lles incumben en virtude do RXPD e doutras disposicións de protección de datos da Unión ou dos Estados membros.
  • Supervisar o cumprimento do disposto no Regulamento, noutras disposicións de protección de datos da Unión Europea ou dos Estados membros e das políticas do responsable ou do encargado do tratamento en materia de protección de datos persoais.
  • Ofrecer o asesoramento que se lle solicite acerca da avaliación de impacto relativa á protección de datos e supervisar a súa aplicación.
  • Cooperar coa autoridade de control.
  • Actuar como punto de contacto coa autoridade de control para cuestións relativas ao tratamento.

Artigo 7. Resolución de Conflitos

No caso de conflito entre as diferentes partes, este resolverase polo superior xerárquico destas. En ausencia do anterior prevalecerá a decisión da persoa responsable de seguridade.

A persoa delegada de protección de datos reportará directamente á Mesa do Parlamento de Galicia.

Artigo 8. Procedementos de designación

As designación para os distintos roles detállanse a continuación:

  • A persoa titular de Oficialia Maior terá o rol de responsable da información do PG.
  • A persoa titular do Servizo de Persoal e Réxime Interior terá o rol de responsable dos servizos do PG.
  • A persoa titular do Servicio de Tecnoloxías da Información terá o rol responsable de seguridade da información.
  • A persoa responsable dos sistemas TI será nomeado polo Letrado Oficial Maior do PG por proposta do Comité Coordinador de Seguridade TIC.
  • Os nomeamentos serán revisados cada dous anos ou cando un dos postos quede vacante.

Artigo 9. Obrigas do persoal

Todos as persoas usuarias dos sistemas da información do Parlamento de Galicia teñen a obrigación de coñecer e cumprir esta Política de Seguridade da Información e a Normativa de Seguridade, sendo responsabilidade do Comité de Seguridade TIC dispor os medios necesarios para que a información chegue aos afectados.Estas obrigacións mantéñense tanto no período durante o cal se ocupa un posto, así como posteriormente, ou no caso de rescisión da cesión ou traslado a outro emprego.

Establecerase un programa de concienciación continua para atender a todos as persoas usuarias dos sistemas da información do Parlamento de Galicia, en particular aos de nova incorporación.

As persoas con responsabilidade no uso, operación ou administración de sistemas TIC recibirán formación para o manexo seguro dos sistemas na medida en que a necesiten para realizar o seu traballo. A formación será obrigatoria antes de asumir unha responsabilidade, tanto se é a súa primeira asignación ou se se trata dun cambio de posto de traballo ou de responsabilidades neste.

O manifesto incumprimento da Política de Seguridade da Información ou da normativa e os procedementos derivados delas, poden levar ao inicio de medidas disciplinarias adecuadas e, se é o caso, a outras medidas legais de aplicación.

Artigo 10. Política de Seguridade da Información

Será misión do Comité Coordinador de Seguridade TIC a revisión anual desta Política de Seguridade da Información e a proposta de revisión ou mantemento da mesma. A Política será aprobada pola Mesa do Parlamento de Galicia e difundida para que a coñezan todas as partes afectadas.

Artigo 11. Normativa e procedementos de seguridade da información

Será misión do Comité Coordinador de Seguridade TIC a revisión e mantemento das Normas técnicas de Seguridade e Procedementos Técnicos de Seguridade da Información. As Normas e Procedementos técnicos de Seguridade serán aprobados polo propio Comité Coordinador de Seguridade TIC e difundidos para que a coñezan todas as partes afectadas.

Artigo 12. Cualificación da documentación

Para facilitar o nivel de privacidade dos documentos do propio sistema de xestión da seguridade (política, normativa, ...) establécense 3 niveis de privacidade:

  • Pública: información que se pode difundir libremente dentro e fóra do organismo e cuxa divulgación non afecta á institución en termos de perda de imaxe e/ou económica.
  • Interna: información que, sen ser confidencial nin restrinxida, debe manterse no ámbito interno do organismo e non debe estar dispoñible externamente, excepto a terceiras partes involucradas logo do compromiso de confidencialidade e coñecemento da persoa propietaria desta.
  • Confidencial: información de alta sensibilidade que debe ser protexida pola súa relevancia sobre decisións estratéxicas, impacto financeiro, oportunidades de negocio, potencial de fraude ou requisitos legais.

Calquera información non clasificada tratarase por defecto como pública.

Para a súa etiquetaxe, designarase un código na cabeceira do documento para identificar o nivel de exposición: Ref.PUB = Publica, Ref.INT = Interna e Ref.CONF = Confidencial.

CAPITULO III. PROTECCION DE DATOS, FORMACIÓN E XESTIÓN

Artigo 13. Datos de carácter persoal

O Parlamento de Galicia trata datos de carácter persoal. O Rexistro de Actividades de Tratamento, recollerá os ficheiros afectados e os responsables correspondentes, e estará accesible a través da internet no enderezo www.parlamentodegalicia.es, baixo o epígrafe de “Protección de datos”.

Todos os sistemas de información do PG axustaranse aos niveis de seguridade requiridos pola normativa para a natureza e finalidade dos datos de carácter persoal recollidos no Rexistro de Actividades de Tratamento, conforme ao establecido pola Lei Orgánica 3/2018, de 5 de decembro, de Protección de Datos Persoais e garantía dos dereitos dixitais.

A obrigación de confidencialidade respecto aos datos de carácter persoal mantéñense no período durante o que se realiza o traballo, así como posteriormente, en caso de rescisión da asignación ou traslado a outro posto de traballo.

Artigo 14. Xestión de riscos

Todos os sistemas suxeitos a esta Política deberán realizar unha análise de riscos, avaliando as ameazas e os riscos aos que están expostos. Esta análise repetirase:

  • regularmente, polo menos unha vez ao ano
  • cando cambie a información manexada
  • cando cambien os servizos prestados
  • cando ocorra un incidente grave de seguridade; e
  • cando se reporten vulnerabilidades graves.

A persoa responsable de Seguridade establecerá unha valoración de referencia para os diferentes tipos de información manexados e os diferentes servizos prestados, que elaborará conxuntamente coa persoa responsable de sistema TI e as persoas administradoras da seguridade (sistemas e comunicación), e comunicaralla o Comité Coordinador da Seguridade TIC.

O Comité Coordinador de Seguridade TIC dinamizará a dispoñibilidade de recursos para atender as necesidades de seguridade dos diferentes sistemas, promovendo investimentos de carácter horizontal.

Artigo 15. Desenvolvemento da política de seguridade da información

Esta Política desenvolverase por medio de normativa de seguridade que afronte aspectos específicos. A normativa de seguridade estará a disposición de todos os usuarios dos sistemas da información da institución que necesiten coñecela, en particular para aqueles que utilicen, operen ou administren os sistemas de información e comunicacións.

A normativa de seguridade estará dispoñible na intranet do Parlamento de Galicia (http://horreo) e impresa nas dependencias do Servizo de Tecnoloxías da Información.

Artigo 16. Terceiras partes

Cando o Parlamento de Galicia preste servizos a outros organismos ou manexe información doutros organismos, faráselles partícipes desta Política de Seguridade da Información e estableceranse canles para reporte e coordinación dos respectivos Comités de Seguridade TIC e procedementos de actuación para a reacción ante incidentes de seguridade.

Cando o Parlamento de Galicia utilice servizos de terceiros ou ceda información a terceiros, faráselles partícipes desta Política de Seguridade e da Normativa de Seguridade que incumba a devanditos servizos ou información. A devandita terceira parte quedará suxeita ás obrigas establecidas nesa normativa, podendo desenvolver os seus propios procedementos operativos para satisfacela. Estableceranse procedementos específicos de reporte e resolución de incidencias.

Garantirase que o persoal de terceiros está adecuadamente concienciado en materia de seguridade, polo menos ao mesmo nivel que o establecido nesta Política.

Cando algún aspecto da Política non poida ser satisfeito por unha terceira parte segundo se require nos parágrafos anteriores, requirirase un informe da persoa Responsable de Seguridade que precise os riscos en que se incorre e a forma de tratalos. Requirirase a aprobación deste informe polas persoas responsables da información e os servizos afectados antes de seguir adiante.

No ámbito de cooperación entre organismos e outras Administracións Públicas, para a efectos de intercambiar experiencias e obter asesoramento para melloras as prácticas e controles de seguridade, o PG poderá manter contactos periódicos con organismos ou entidades especializadas en temas de seguridade como poden ser o INCIBE, CCN e outros.

Disposición derrogatoria

Estas normas deixan sen efecto calquera acordo ou norma en materia de política de seguridade adoptados pola Mesa do Parlamento de Galicia.

Esta Política se Seguridade da Información é efectiva desde devandita data e ata que sexa substituída por unha nova Política.

saltar ao pe de páxina