Embed Size (px)
Citation preview
Adequació als esquemes, organització de la seguretat i
implantació d’un SGSI
Ascen Moro Cap de la Unitat de Gestió del Coneixement i Qualitat
Ajuntament de Sant Feliu de Llobregates.linkedin.com/in/[email protected]
• Reenginyeria de processos• Automatització expedients• OAC
• Web• Informació tràmits
• Expedient electrònic integral• Gestió Documental• Adequació seguretat• Normes tècniques d’interoperabilitat
SEU ELECTRÒNICA� Carpetes� Oficina virtual� Pagament on line� Factura electrònica� eTauler
• TRANSPARÈNCIA• COL·LABORACIÓ• PARTICIPACIÓ
FRONT OFFICE
BACK OFFICE • Publicitat activa automatitzada• Open Data• Accés i reutilització• Eines de participació i col·laboració
Full de ruta
CAL PROTEGIR ELS ACTIUS, SISTEMES D’INFORMACIÓ i DADES, de POSSIBLES AMENACES
CONFIANÇA
Informació i Sistemes sotmesos a RISCOS
• Preveure amenaces de seguretat• Reaccionar contra aquestes amenaces• Recuperar-se si aquestes es materialitzen
MESURES DE SEGURETAT
DADES PERSONALS ------------> LOPD 15/1999 + RD 1720/2007SISTEMES D’INFORMACIÓ ----> Sistemes normalitzats ( ISO 2700 SGSI)
Implantació de MECANISMES
Administració
Actius Estratègics
La seguretat
La seguretat a les lleis d’administració electrònica
SEGURETAT A LA LAE L 39/2015 L 40/2015
Transmissió de dades:
(art. 9 i 20)Seu electrònica: (art. 10 i 17)
Drets de les persones en
les seves relacions ambles AP (Art 13.h)
Les AP es relacionaran entre sí a través de
mitjans elec. que assegurin la I i la S dels sistemes i solucions, i garantia LOPD. Art. 3.2
Publicació de diaris oficials
(art. 11)
Registres Art. 16.1 Intercanvi electrònic de dades en entorns
tancats de comunicació. Art.44
Registre electrònic (art. 24 a 26)
Arxiu de documents. Art. 17.3
La seu electrònica. Art. 38. Arxiu electrònic de docs. Art.46.
Comunicacions: (art. 27 i 28)
Arxiu electrònic: (art. 31)Tauler d’anuncis (art. 12)
Validesa i eficàcia de las
còpies. Art 27.3 Còmput de terminis en
registres. Art 31.
Transmissions de dades entre AP. Art. 155
ENS I ENS. Art. 156Reutilització sistemes i aplicacions Art. 157
Transferència tecnologia entre AP. Art.158
• Protecció de dades de caràcter personal en els termes LOPD.• Ppi Seguretat implantació i ús e-mitjans: LÍMIT INFERIOR.
Almenys el mateix nivell de seguretat que relació presencial.• Ppi de proporcionalitat: LÍMIT SUPERIOR. Proporcional a la
naturalesa i circumstàncies dels tràmits i actuacions.
Principis de seguretat
Finalitats de la llei: PROMOCIÓ SEGURETAT
ARTICLE 42 LAE ���� Creació de l’ENS // ARTICLE 156 LRJAP���� Reconeix ENS
• Garantia de la seguretat i confidencialitat de les dades.• Obtenció dels sistemes d’identificació electrònica.• Ús d’altres sistemes de signatura admesos.
Dret a relacionar-se MITJANS ELECTRÒNICS
Drets
L’Esquema Nacional de SeguretatSEGURETAT EN L’OBJECTE DE LA LAE: Les AAPP han d’usar les TIC assegurant en tot cas la disponibilitat, l’accés, la integritat, l’autenticitat, la confidencialitat i la conservació de les dades, les informacions i els serveis que gestionin. També s’ha recollit a les lleis RJAP i LPA.
ELEMENTS DE L’ENS• Els principis bàsics• Els requisits mínims • Mesures seguretat per assolir –los.• Les comunicacions electròniques• L’ auditoria de seguretat.• La resposta davant incidents • La certificació de la seguretat• La declaració de conformitat
OBJECTIUS
• Crear condicions de confiança en l'úsdels mitjans electrònics.• Establir la POLÍTICA de SEGURETAT• Introduir els elements comuns AP• Aportar llenguatge comú AP• Promou tractament homogeni
seguretat que faciliti la cooperació.• Facilitar un TRACTAMENT CONTINUAT
de la seguretat.
ÀMBIT APLICACIÓ (LPA)
QUÈ ÉS?
• RD 3/2010, de 8 de gener de caràcter bàsic que desenvolupa seguretat LAE
• Modificat per RD 951/2015, de 23 oct
Objecte de protecció: Sistema informació/informació/comunicacions/serveis electrònics IMPLICATS EN:• L’exercici de drets • El compliment de deures• Independentment del SISTEMA D’ACCÉS per part de la ciutadania.
NOVES PREVISIONS A L’ ENS (24 mesos per a l’adequació)
MESURES DE SEGURETAT COMPENSATÒRIES
NOVA INSTRUCCIÓTÈCNICA D’AUDITORIA DE
SEGURETAT
NOTIFICACIONS AL CCN d’incidents de seguretat
PERSONAL QUALIFICAT PER AUDITORIES DE
SEGURETAT ENS
NOU CONJUNT D’INSTRUCCIONSTÈCNIQUES DE SEGURETATD’OBLIGAT COMPLIMENT
MODIFICACIONS DE LES MESURES DE SEGURETAT ANNEX II
Miguel Ángel Amutio. www.cnis.es
Adequació als esquemes nacionalsd’interoperabilitat i seguretat
RD 951/2015 modificació ENSTermini adequació: 05-11-2017
Evolució projecte Seguretat a Sant Feliu
Pla d’adequació a l’ENS
• Elaboració: Responsable de Seguretat del sistema (si s’escau)• Aprovació: Òrgans superiors (Alcalde)
Pla d’adequacióGUIA DE
SEGURETAT (CCN-STIC-806)
Disposició T. LAE - Adequació de sistemes i serveis.
Política de seguretat
DeclaracióAplicabilitatMesures ENS + RLOPD
Insuficiènciessistema
PLA DE MILLORA CONTINUA DE LA SEGURETAT
AnàlisiRISCOS
ADEQUACIÓSistemes existents
PLA ADEQUACIÓ
Màxim 48 MESOS12 MESOSEntrada envigor ENS
FASES per al desplegament de l’ENS: Pla adequació
CONTINGUT: PLA ADEQUACIÓ
RD 951/2015 modificació ENSTermini adequació: 05-11-2017
Annex III ENS � la Seguretat de la Informació ha de ser formalitzada a través d’un SGSI
RD 3/2010 ENS UNE ISO IEC 27001:2007 (SGSI)
És una norma jurídica (obligatòria) Eina de normalització voluntària, certificable
Presenta analogies amb ISO 27001:2007 però aplica controls concrets per e Administració (75 vs 133)
Són models tipus PCDA – Millora contínua del procés de seguretat
Evidències de compliment per declaració de
conformitat prèvia auditoria de resultat positiu
Per certificació expedida per un auditor autoritzat,
prèvia auditoria amb resultat satisfactori
Moltes manifestacions al text sobre gestiócontinuada de la seguretat:
1. La seguretat com a procés integral (art. 5)2. La Reavaluació periòdica de la seguretat (art. 9)3. Els requisits mínims: l’Organització i implantaciódel procés de seguretat (art. 12)4. Millora contínua del procés de seguretat (art. 26)5. Actualització permanent (art. 42)6. L'annex III sobre auditoria de la seguretat
Implantació eina de gestió de la seguretat: SGSI
ADEQUACIÓ A L’ENS I ENI A L’AJUNTAMENT DE SANT FELIU
Necessitat de la Política de Seguretat
La informació + valoració (*)
Els serveis d’Administració electrònica+ valoració (*)
Les dades de caràcter personal
Les categories dels sistemesd’informació + valoració (*)
L’anàlisi de riscos: anàlisi parcial expedients electrònics
La declaració d’aplicabilitat de mesures de seguretat: Annex II
Les insuficiències del sistema: es declaren residuals s’accepten
El Pla de millora de la seguretat: preveu 10 projectes.
Aprovació20/12/2011
Decret 3424
Documents diagnosi
Resultat documental ENS - ENI Ajuntament de Sant Feliu
PLA ADEQUACIÓ
CONTINGUT
ANY 2010
Sant Feliu de Llobregat: Organització de la seguretat
�Reestructuració de l'organització de la seguretat en òrgans col·legiats
(Comissió i Subcomissió de seguretat)
�Documents que habiliten aquesta organització (Decret creació, Document
de Seguretat LOPD, Política de Seguretat ENS)
�Composició i règim de funcionament dels òrgans de seguretat
�Funcions (LOPD/ENS) Comissió de Seguretat
�Funcions (LOPD/ENS) Subcomissió de Seguretat
�El full de ruta de la Subcomissió (auditories LOPD/ENS i Pla d’adequació)
�Formació i difusió als usuaris (espai Intranet, notícies, EVA…)
�El registre d’incidències
�Millores en Infraestructura de servidors i BBDD
�Gestió de logs (Pissarra BI)
Comissió de seguretat
En l’acta de constitució:NOMENA
• R. de la informació• R. del servei• R. del fitxer (LOPD)
• R. de la seguretat
• R. del sistema
Responsables ENS
• Comitès
Política de Seguretat
Aprovació Organització de la seguretat: juny de 2011. Reestructuració de l’organització de la seguretatde l’Ajuntament, que es concreta en els següents òrgans col·legiats:
COMISSIÓ DE SEGURETAT:Composició:• President/a de la Comissió de Seguretat (Alcaldia oRegidor de Serveis Generals)• Gerència• Secretari/ària de la Corporació• Director/a de Serveis Jurídics• Director/a de Tecnologies i Gestió del Coneixement• Tècnica jurista: secretària de la comissió
Règim de sessions:1 sessió semestral + reunions extraordinàries si s’escauLa primera sessió de constitució de la Subcomissió de Seguretat serà convocada per la Comissió de Seguretat
SUBCOMISSIÓ DE SEGURETAT:
Composició• Cap de Recursos Humans• Lletrat/ada o tècnic/a jurista• Cap de l’Oficina d’Atenció Ciutadana• Cap de la Unitat d’Informàtica• Cap de la Unitat de GCQ• Administrativa àmbit TGC: secretària de la subcomissió
Règim de sessions:• 1 sessió mensual + reunions extraordinàries si s’escau
Acta constitució:29/07/2011
Subcomissió de Seguretat• Administrador de seguretat
Assumeixen funcions seguretat RLOPD + ENS
Organització de la seguretat a l’Ajuntament de Sant Feliu
Organització de la seguretat
BI Incidències de seguretat
Comunicació periòdica de dades implementació ENS a l’Ajuntament (plataforma INES)
EXPORT INES(Comunicat el 29 de gener de 2016)
Sol·licitud Ministeridades INES
www.santfeliu.cat
