Revisión e aprobación de modificacións sobre os seguintes documentos:
Análise de impacto (BIA): actualización das dependencias entre activos e dos riscos asociados como consecuencia da actualización da análise de riscos.
Plan de mellora de seguridade 2025: o plan detalla as accións de seguridade a realizar durante o 2025 en base ás observacións e oportunidades de mellora identificadas na auditoría de seguridade interna realizada a finais de 2024. Para cada acción detállase o obxecto da acción, a adicación en horas, o orzamento e o gasto. Así mesmo, tamén se recollen accións asociadas coa auditoría de protección de datos, realizada tamén a finais de 2024. Do mesmo xeito, para cada acción detállase o obxecto da acción, a adicación en horas, o orzamento e o gasto.
Rogos e preguntas.
Acta do 16 de decembro de 2024
Aprobación da acta do 15/07/2024
Actualización da seguinte normativa:
Normativa de teletraballo: engádese unha restricción de xeolocalización, polo que os usuarios autorizados para teletraballar deberán avisar para que se lles habilite o acceso se van realizar a conexión dende fóra do territorio español.
Normativa de acceso remoto: establécese un control de acceso por xeolocalización que imposibilita a conexión dende fóra de España. En caso de necesitar conectarse dende outro país deberá comunicalo previamente ao STI con antelación suficiente. En todos os casos, establécese un dobre factor de autenticación para o acceso remoto. Este dobre factor impleméntase a través dun código pin dun só uso.
Procedemento de autorización e xestión do cambio: a autorización para o acceso ás instalacións realízase a través dunha solicitude no portal de acreditacións do Parlamento de Galicia (https://acreditacions.parlamentodegalicia.gal), no canto de realizar o envío dun formulario por correo electrónico. Explícase o procedemento e facilítase o usuario e contrasinal aos membros do Comité de seguridade para a validación das solicitudes.
Procedemento de análise de riscos: revísase o procedemento de análise de riscos para que non conteña referencias específicas aos análises de riscos concretos.
Informe de análise de riscos: revísase e apróbase o análise de riscos anual e o informe de análise e xestión de riscos, actualizado en decembro de 2024
Procedemento de actualización do RAT: apróbase o procedemento para a actualización do RAT.
Infórmase sobre a realización da auditoría interna anual sobre o Esquema Nacional de Seguridade e a auditoría en materia de proteción de datos.
Acta do 15 de xullo de 2024
Aprobación da acta do 16/02/2024
Actualización da seguinte normativa:
Composición do Comité de Seguridade: actualización da composición do Comité de Seguridade para incluir como membro a Adriana Martínez Martínez, directora do Gabinete.
Declaración de aplicablidade: engádense ou modifícanse as medidas compensatorias para op.acc.6, op.nub.1, mp.if.2, mp.if.6, mp.eq.3 y mp.com.1. Complétanse os campos de validación das medidas compensatorias e mantemento. Para a medida mp.com.1 engádese unha devasa pola que pasa todo o tráfico con destino a nube de copia de seguridade.
Rogos e preguntas.
Acta do 16 de febreiro de 2024
Aprobación da acta do 17/01/2024
Infórmase sobre os resultados da auditoría de certificación e os seguintes pasos a realizar para a obtención do certificado de conformidade.
Aprobación da seguinte normativa:
Política de seguridade: inclusión de referencias aos artigos 5 e 11 do Real Decreto 311/2022. Logo da aprobación enviarase ao Presidente do Parlamento para a súa aprobación e publicarase no BOPG e na páxina web do Parlamento de Galicia.
Marco normativo: incorpóranse as referencias ás instrucións técnicas “Resolución de 27 de marzo de 2018, da Secretaría de Estado de Función Pública, pola que se aproba a Instrución Técnica de Seguridade de Auditoría de Seguridade dos Sistemas de Información" e “Resolución de 13 de abril de 2018, da Secretaría de Estado de Función Pública, pola que se aproba a Instrución Técnica de Seguridade de Notificación de Incidentes de Seguridade", que non figuraban dentro do marco normativo.
Declaración de aplicabilidade: actualízase a declaración de aplicabilidade con 3 medidas compensatorias referentes ás medidas [op.nub.1] productos en la nube, [mp.if.2] identificación de las personas e [mp.com.3] protección de la integridad y de la autenticidad.
Procedemento de contratación e ANS: aprobase este novo procedemento para cubrir a medida [op.pl.3] Adquisición de nuevos componentes.
Rogos e preguntas.
Acta do 17 de xaneiro de 2024
Aprobación da acta do 09/11/2023
Aprobación do plan de adecuación e o plan de mellora para 2024. Infórmase da realización da auditoría de certificación no mes de febrero.
Rogos e preguntas.
Acta do 9 de novembro de 2023
Aprobación da acta do 26/09/2023
Actualización e aprobación de normativa:
Política de seguridade (extraer a normativa aplicable a un arquivo externo, para non ter que modificar a política por cambios normativos)
Funcións de seguridade (actualizacións de referencias a artigos do novo Real Decreto 311/2022)
Declaración de aplicabilidade (actualización anual de 2023)
Análise de riscos (actualización anual de 2023)
Rogos e preguntas.
Acta do 26 de setembro de 2023
Aprobación da acta do 13/06/2023
Actualización e aprobación de normativa:
Actualización de Funcións de seguridade da información: inclúese a referencia ao Anexo de funcións e responsabilidades de seguridade
Aprobación do Anexo de funcións e responsabilidades de seguridade
Rogos e preguntas.
Acta do 13 de xuño de 2023
Aprobación da acta do 09/05/2023
Actualización e aprobación de normativa:
Normativa de arquitectura de seguridade
Instrucción técnica de instalación e bastionado
Actualización dos valores requiridos para o bastionado de servidores
Instrucción técnica de desenvolvemento seguro de aplicacións
Actualización das directrices de seguranza do procedemento xeral
Instrución técnica de protección de servizos e aplicacións web
Actualización das medidas de protección das aplicacións
Rogos e preguntas.
Acta do 9 de maio de 2023
Aprobación da acta do 25/04/2023
Actualización e aprobación de normativa:
Normativa de clasificación de información
Procedemento de rexistro de E/S de equipamento
Procedemento de autorización e xestión do cambio
Instrución técnica de antivirus
Rogos e preguntas.
Acta 25 de abril de 2023
Aprobación da acta do 13/02/2023
Aprobación da análise de riscos dos sistemas de información do Parlamento de Galicia, cun risco potencial de 4,5, un risco actual de 1,3 e un risco planificado de 0,97.
Aprobación do plan de adecuación e o plan de mellora, coas diferentes actuacións, a súa planificación e os recursos adicados para alcanzar o nivel de risco planificado.
Actualización e aprobación de normativa:
Procedemento de Xestión de soportes: actualización de directrices no procedemento xeral
Procedemento de Xestión de activos: actualización de directrices de seguranza
Procedemento de Xestión de vulnerabilidades: revisión e actualización de directrices de seguranza
Composicion do Comité de seguridade e nomeamentos
Nomeamento de Marrosa Buceta López como xefa de servizo de SAP
Rogos e preguntas.
Acta 13 de febreiro de 2023
Aprobación da acta do 22 de novembro de 2022
Actualización da política de seguridade (Pto 4 novo marco normativo: Real Decreto 311/2022, de 3 de maio, polo que se regula o Esquema Nacional de Seguridade.)
Cambio no Procedemento de política de backup (Pto 41. ... O sistema utilizado é o software Veeam Backup, unha libraría de cintas de backup e unha solución de almacenamento na nube (Wasabi).)
Cambio no procedemento de limpeza de documentos (Pto 45. Non en tanto, ao realizar un envío por correo electrónico realízase a limpeza de metadatos dos arquivos adxuntos a través da ferramenta Metaclean, implantada no Parlamento de Galicia. Esta ferramenta tamén permite realizar unha limpeza manual de metadatos mediante a selección dun arquivo, facendo clic co botón dereito sobre devandito arquivo e seleccionando a opción “Limpar Metadatos". Esta limpeza manual permite crear un novo arquivo limpo de metadatos ou sobrescribir o ficheiro existente.)
Procedemento de borrado e destrución (Novo procedemento de borrado de dispositivos ca ferramenta Olvido do CCN-CERT)
Actualización da normativa NOR.STI.0006.INT-1.2_Normativa_ Acceso_remoto-gl (actualizado o punto 2.5 Accesos remotos de terceiros.
No acceso a terceiros por parte da empresa estará obrigada á sinatura das cláusulas de protección de datos como anexo do contrato, no caso de ter acceso a datos de carácter persoal. Así mesmo, de ser necesario asinará autorización de acceso con compromiso explícito de cumprimento da normativa de ENS do PG segundo o modelo de acceso de terceiros PLT.STI.0005-04_Registro_Aceptación_Normas.)
Acta 21 de novembro de 2022
Aprobación da
acta do 6/2/2020
Actualización e
aprobación de normativa:
Aprobación de modificacións do Procedemento de xestión de incidentes de
seguridade
Aprobación do análise de impacto de negocio (BIA)
Aprobación de modificacións do Procedemento de desenvolvemento software
Información
respecto ao curso de ciberseguridade dispoñible a través da plataforma de
formación do Parlamento de Galicia.
Acta 6 de febreiro de 2020
Aprobación da acta do 14/11/2019
Presentación de análise GAP do sistema de información de Páxina web e sede electrónica.
Actualización e aprobación de normativa:
Aprobación de modificacións do Procedemento de acceso ao CPD
Anexo de Entrega de Contrasinal
Aprobación de Procedemento de retirada de equipos e software
Aprobación de Procedemento de desenvolvemento software
Aprobación de modificacións de Procedemento de control de accesos (en concreto, novo anexo Relación de administradores)
Exemplo de categorización de sistema (Páxina web e sede electrónica)
Instarase ao departamento de Persoal e Réxime Interior para realizar a contratación de servizos de seguridade.
Acta 14 de novembro de 2019
Aprobación da acta do 28/02/2019.
Actualización e aprobación de normativa:
Normativa de acceso remoto
Aprobación da seguinte normativa:
PPRD.STI.0011.INT-1.0_Procedimiento control acceso CPD
Infórmase sobre a realización de análise GAP de cara á obtención de certificación ENS do sistema de información da páxina web e a sede electrónica.
Infórmase sobre a próxima licitación de concurso público para realizar auditoría de seguridade.
Acta 28 de febreiro de 2019
Aprobación da acta do 10/12/2018
Debátese sobre o rexistro de actividades de tratamento e a elaboración de nota informativa para distribuír entre o persoal que realiza actividades de tratamento.
Actualización e aprobación de normativa:
Política de seguridade do Parlamento de Galicia
Normas de creación e uso de contrasinais
Aprobación da seguinte normativa:
PRD.STI.0008.INT-1.1 Procedemento de Rexistro de E/S de equipamento
PRD.STI.0009.INT-1.1 Procedemento de Limpeza de Documentos
PRD.STI.00010.INT-1.1_Procedemento de mantemento de xestión de vulnerabilidades
ITC.STI.0003.INT-1.0 Protección de servizos e aplicacións web
ITC.STI.0004.INT-1.1 Antivirus
Infórmase sobre a próxima licitación de concurso público para realizar auditoría de seguridade.
Acta 10 de decembro de 2018
Aprobación da acta do 20/09/2018
Aprobación da seguinte normativa:
PRD.STI.0005.INT-1.1 Procedemento de Xestión de Soportes
PRD.STI.0006.INT-1.1 Procedemento de Xestión de Activos
PRD.STI.0007.INT-1.1_Procedemento Xestión Incidencias de Seguridade
ITC.STI.0001.INT-1.1 Desenvolvemento Seguro de aplicacións
ITC.STI.0002.INT-1.1 Instruccion Tecnica de Instalacion e Bastionado
Infórmase sobre a participación do persoal na xornada de formación presencial realizada o 15 de outubro por un experto en ciberseguridade.
Achegarase para revisión e futura aprobación:
PRD.STI.0008.INT-1.1 Procedemento de Rexistro de E-S de equipamento
PRD.STI.0009.INT-1.1 Procedemento de Limpeza de Documentos
PRD.STI.0010.INT-1.1 Procedemento de Mantemento e Xestión de Vulnerabilidades
Acta 20 de setembro de 2018
Aprobación da acta do 22/03/2018
Aprobación da seguinte normativa:
PRD.STI.0002.INT-1.4_Procedimiento Copias de Respaldo (Procedemento de realización e recuperación de copias de seguridade)
PRD.STI.0003.INT-1.2 Proc. de Autorizacion y Gestion del Cambio (Procedemento de autorización e xestión do cambio)
PRD.STI.0004.INT-1.2 Procedimiento de Control de Accesos (Procedemento de identificación, autenticación e xestión de dereitos dos usuarios)
Avaliaranse solucións para arquivado definitivo de información
Determínase a necesidade de firmar dixitalmente o BOPG e o DSPG
Retómase a estimación económica para contratar formación para os usuarios co obxecto de chegar a explicar medidas concretas asociadas coas normas e os procedementos. Preséntase o índice de unidades didácticas. Infórmase da posiblidade de realizar unha formación básica gratuíta dunha duración de 2 horas para todos os usuarios
Achegarase para revisión e futura aprobación:
PRD.STI.0005.INT-1.1 Procedimiento de Gestión de Soportes
PRD.STI.0006.INT-1.1 Procedimiento de Gestion de Activos
PRD.STI.0007.INT-1.1_Procedimiento Gestion Incidencias de Seguridad
ITC.STI.0001.INT-1.1 Desarrollo Seguro de aplicaciones
ITC.STI.0002.INT-1.1 Instruccion Tecnica de Instalacion y Bastionado
Acta 22 de marzo de 2018
Aprobación da acta do 23/02/2018
Aprobación da seguinte normativa:
NOR.SAP.0001.INT-1.3_Norma_gestion_documentacion (Norma para a xestión da documentación)
Aprobación de actualización dos puntos 6.4 Normas para o uso de portátiles e 18 Posto de traballo desatendido da norma NOR.STI.0001.INT.1.2_Norma_Utilizacion_Recursos_SI (Norma de utilización dos sistemas de información)
NOR.STI.0006-1.1_Normativa_ Acceso_remoto (Norma de acceso remoto) e a plantilla que debe encher un terceiro para o acceso remoto ao Parlamento (PLT.STI.000x-04_Registro_Aceptación_Normas)
PRD.STI.0001.INT-1.1_Funciones de Seguridad de la Informacion (procedemento de funcións de seguridade) que desenvolve o definido na Política de Seguridade
Preséntase a estimación económica para contratar formación para os usuarios co obxecto de chegar a explicar medidas concretas asociadas coas normas e os procedementos. Acórdase elaborar un índice de unidades didácticas e en base a estas seguir avaliando o modo de implementar a mesma (presencial ou teleformación)
Achegarase para revisión e futura aprobación:
PRD.STI.0002.INT-1.3_Procedimiento Copias de Respaldo
PRD.STI.0003.INT-1.2 Proc. de Autorizacion y Gestion del Cambio
PRD.STI.0004.INT-1.1 Procedimiento de Control de Accesos
Acta 23 de febreiro de 2018
Aprobación da acta do 27/11/2017
Apróbase o Documento de Declaración de Aplicabilidade e o Plan de Mellora.
Acórdase realizar a revisión e aprobación, en próximas reunións, por parte do Comité de Seguridade, dos diferentes procedementos que se elaboraron no marco do plan de mellora da seguridade, comezando pola Norma de Xestión da Documentación, a actualización da Norma de Utilización dos Recursos e Sistemas de Información do Parlamento de Galicia e a Norma de Acceso Remoto e o procedemento de Funcións de Seguridade da Información.
Acórdase contratar formación para os usuarios co obxecto de chegar a explicar medidas concretas asociadas coas normas e os procedementos.
Acta 27 de novembro de 2017
Aprobación da acta do 15/12/2016
Apróbase a actualización da Política de Seguridade do Parlamento de Galicia, coa inclusión das modificacións sinaladas na reunión. Acórdase a súa remisión á Mesa do Parlamento para a súa aprobación e a posterior publicación na páxina web do Parlamento de Galicia; acórdase realizar o nomeamento dos responsables de seguridade e dos sistemas. Recordarase a todos os usuarios dos sistemas da información a actualización da Política de Seguridade.
Acórdase realizar a revisión e aprobación, nunha próxima reunión, por parte do Comité de Seguridade dos diferentes entregables relativos á auditoría de seguridade realizada no ámbito do ENS.
Acórdase comezar a implantar as medidas precisas para a adaptación ao RGPD.
Infórmase dos diferentes procedementos que se elaborarán no marco do plan de mellora da seguridade e que deberán ser aprobados polo Comité de Seguridade.
Infórmase das tarefas de concienciación e sensibilización a realizar ao longo do ano 2018.
Acta 15 de decembro de 2016
Aprobación da acta do 27/10/2016
Apróbase a actualización da Política de Seguridade do Parlamento de Galicia. Acórdase a súa remisión á Mesa do Parlamento para a súa aprobación e a posterior publicación na páxina web do Parlamento de Galicia
Acta 27 de outubro de 2016
Aprobación da acta do 30/06/2016
Apróbanse os documentos 030 - NORMAS PARA TRABALLAR FÓRA DAS INSTALACIÓNS DO PARLAMENTO DE GALICIA e 040 - NORMAS DE CREACIÓN E USO DE CONTRASINAIS. Acórdase a súa publicación na intranet do Parlamento.
Realizarase un envío a todo o persoal notificando a aprobación dos documentos anteriores.
Iniciarase a tramitación dun procedemento de contratación para a realización dunha auditoría de seguridade e protección de datos, a implantación dun sistema de xestión de información de seguridade e a obtención da declaración de conformidade do ENS.
Acta 30 de xuño de 2016
Aprobación da acta da sesión anterior
Aprobación dos documentos 010 - NORMAS DE ACCESO A INTERNET e 020 - NORMAS DE USO DEL CORREO ELECTRÓNICO (E-MAIL) e notificación aos usuarios dos sistemas da información
Inclusión dunha sección no portal de transparencia para darlle publicidade ás actuacións e decisións do Comité de Seguridade
Inclusión dun texto de aceptación implícita da normativa ao iniciar sesión
Revisión dos documentos 030 - NORMAS PARA TRABALLAR FÓRA DAS INSTALACIÓNS DO PARLAMENTO DE GALICIA e 040 - NORMAS DE CREACIÓN E USO DE CONTRASINAIS para a próxima reunión
Acta 1 de abril de 2016
Aprobación da acta da sesión anterior
Notificación aos usuarios da aprobación do Documento de Seguridade e a Normativa Xeral de uso dos Sistemas de Información do Parlamento de Galicia
Inicio da tramitación dun procedemento de contratación para a realización dunha auditoría de seguridade e protección de datos, a implantación dun sistema de xestión de información de seguridade e a obtención da declaración de conformidade do Esquema Nacional de Seguridade
Revisión dos documentos 010 - NORMAS DE ACCESO A INTERNET e 020 - NORMAS DE USO DEL CORREO ELECTRÓNICO (E-MAIL)
Acta 14 de marzo de 2016
Aprobación da acta da anterior reunión
Realización de modificación de arquivos protexidos pola LOPD
Notificación ao persoal da obriga de coñecemento e cumprimento do Documento de Seguridade
Aprobación da Normativa Xeral de Utilización dos recursos e sistemas de información do Parlamento de Galicia, publicación na Intranet do Parlamento e difusión entre os usuarios
Ampliación da capacidade de almacenamento dos arquivos de videovixilancia ata o máximo legal permitido
Acórdase a conveniencia de recordarlles periodicamente aos usuarios as mellores prácticas de emprego dos sistemas de información
Acórdase a implantación de medidas para tratar de reducir o emprego de dispositivos USB de almacenamento
Acta 16 de xuño de 2014
Aprobación da acta da sesión anterior
Incorporación de achegas ao Documento de Seguridade
Acordo de notificación das medidas a realizar á Xunta de Persoal do Parlamento de Galicia
Acta 12 de xuño de 2014
Constitución do Comité de Seguridade
Entrega do Documento de Seguridade para a súa revisión