O Decreto 73/2014, de 12 de junho, pelo que se acreditem e se regulam os órgãos colexiados com competências em matéria de segurança da informação e governo electrónico da Administração geral e do sector público autonómico da Galiza, estabelece que a Comissão de Segurança e Governo Electrónico proporá para a sua aprovação pelo Conselho da Xunta da Galiza a política de segurança da Administração geral e do sector público da Galiza, proposta que acordou efectuar o Pleno da Comissão de Segurança e Governo Electrónico na sessão ordinária de 19 de maio de 2015.
O Conselho da Xunta da Galiza, na sua reunião do dia vinte e cinco de junho de dois mil quinze adoptou, entre outros acordos, aprovar a política de segurança da informação da Administração geral e do sector público autonómico da Galiza.
Por todo o exposto,
RESOLVO:
Dar-lhe publicidade à política de segurança da informação da Administração geral e do sector público autonómico da Galiza, que se recolhe no anexo que acompanha a esta resolução.
Santiago de Compostela, 10 de julho de 2015
Mar Pereira Álvarez
Directora da Agência para a Modernização Tecnológica da Galiza
ANEXO
1. Política de segurança da informação da Administração geral e do sector público autonómico da Galiza.
A missão da Xunta de Galicia centra-se em dirigir a política e a administração da Comunidade Autónoma da Galiza e em exercer a função executiva e a potestade regulamentar, de acordo com o Estatuto de autonomia e com as leis. A Administração geral e do sector público autonómico da Galiza, baixo a direcção da Xunta de Galicia, encontra-se inmersa num processo gradual de transição para a sociedade da informação e do conhecimento, o que comporta uma transformação substancial a nível tecnológico.
Neste marco, as tecnologias da informação e as comunicações (TIC) constituem-se como um instrumento de alto nível estratégico, devido ao seu potencial para impulsionar a modernização da Administração geral e do sector público autonómico da Galiza, assim como à sua capacidade para estimular e sustentar o desenvolvimento social e económico da Galiza. Portanto, é imprescindível que os sistemas TIC sejam administrados com diligência, e também tomar as medidas adequadas para protegê-los de ameaças de rápida evolução e com potencial para incidir na confidencialidade, integridade, disponibilidade, rastrexabilidade, autenticidade e valor da informação e dos serviços.
A política de segurança da informação é o instrumento em que se apoia a Administração geral e o sector público autonómico da Galiza para alcançar os seus objectivos, utilizando de forma segura os sistemas de informação e as comunicações. Para defender das ameaças, garantir a continuidade dos sistemas de informação, minimizar os riscos de dano e assegurar o eficiente cumprimento dos seus objectivos, será necessário definir medidas de segurança de natureza organizativo, física e lógica. Tudo isso permitirá reforçar a segurança para proteger cada activo, já que a segurança, concebida como processo integral, compreende todos os elementos técnicos, humanos, materiais e organizativo relacionados com os sistemas de informação e as comunicações, e deve perceber-se não como um produto, senão como um contínuo processo de adaptação e melhora que deve ser controlado e gerido.
Por isso, esta política será de aplicação, em todo o âmbito da Administração geral e do sector público autonómico da Galiza, a todos os seus recursos e à totalidade dos seus processos, internos e externos, vinculados à Xunta de Galicia através de contratos ou acordos com terceiros.
2. Marco normativo.
A presente política de segurança desenvolve no marco normativo estabelecido pelas seguintes normas:
a) Lei orgânica 15/1999, de 13 de dezembro, de protecção de dados de carácter pessoal, e as suas normas de desenvolvimento, que achegam critérios para estabelecer a proporcionalidade entre as medidas de segurança e a informação que se há proteger.
b) Lei 30/1992, de 26 de novembro, de regime jurídico das administrações públicas e do procedimento administrativo comum, que assinala no seu artigo 45.5 que os documentos emitidos, quaisquer que seja o seu suporte, por meios electrónicos, informáticos ou telemático, pelas administrações públicas, ou os que estas emitam como cópias de originais armazenados por estes mesmos meios, desfrutarão da validade e da eficácia de um documento original, sempre que fique garantida a sua autenticidade, integridade e conservação.
c) Lei 11/2007, de 22 de junho, de acesso electrónico dos cidadãos aos serviços públicos, que assinala entre os seus fins o de criar as condições de confiança no uso dos meios electrónicos, e estabelece as medidas necessárias para a preservação da integridade dos direitos fundamentais, em especial os relacionados com a intimidai e com a protecção de dados de carácter pessoal, por meio da garantia da segurança dos sistemas, dados, comunicações e serviços electrónicos. Estes fins foram desenvolvidos pelo Real decreto 3/2010, de 8 de janeiro, pelo que se regula o Esquema nacional de segurança (em diante, ENS) no âmbito da Administração electrónica, que busca a criação das condições necessárias de confiança no uso dos meios electrónicos, através de medidas para garantir a segurança dos sistemas, dados, comunicações e serviços electrónicos, que lhes permita aos cidadãos e às administrações públicas o exercício de direitos e o cumprimento de deveres através da aplicação segura destas tecnologias. Concretamente, esta política dá resposta ao requerimento do ENS que, no seu artigo 11, estabelece que todos os órgãos superiores das administrações públicas disporão formalmente da sua política de segurança, que será aprovada pelo titular do órgão superior correspondente.
d) Decreto 230/2008, de 18 de setembro, pelo que se estabelecem as normas de boas práticas na utilização dos sistemas de informação da Administração da Comunidade Autónoma da Galiza, que tem por objecto a regulação das normas de utilização dos sistemas de informação e comunicações, fixos e móveis, da Administração geral e do sector público autonómico da Galiza. Nele estabelecem-se os deveres das pessoas utentes dos sistemas de informação e comunicações no relativo à sua segurança e bom uso para garantir a protecção da informação das pessoas e das empresas nas suas relações com a Administração geral e do sector público autonómico da Galiza.
e) Decreto 73/2014, de 12 de junho, pelo que se acreditem e se regulam os órgãos colexiados com competências em matéria de segurança da informação e governo electrónico da Administração geral e do sector público autonómico da Galiza. Nele estabelece-se que a Comissão de Segurança e Governo Electrónico proporá para a sua aprovação pelo Conselho da Xunta da Galiza a política de segurança da informação da Administração geral e do sector público da Galiza.
3. Objectivos e âmbito de aplicação.
3.1. Objectivos da política de segurança da informação.
A política de segurança da informação da Administração geral e do sector público autonómico da Galiza tem como objectivo estabelecer os princípios gerais que dirigem a gestão da segurança no âmbito de aplicação do número 3.2. Persegue a protecção dos recursos necessários para alcançar os objectivos e a missão da organização, serve como declaração de intuitos e guia geral com a qual estabelecer todas as actuações em matéria de segurança e fixa a estrutura que deve desenvolver-se para acometer estas actuações, tanto no âmbito organizativo coma no documentário.
A sua aprovação serve para constatar o interesse de máximo nível que suscita a protecção da informação manejada na Administração geral do sector público autonómico da Galiza e estabelece o ponto de partida de organização para conseguir este fim.
3.2. Âmbito de aplicação.
Esta política será de aplicação, no âmbito da Administração geral e do sector público autonómico da Galiza, a todos os sistemas de tecnologias da informação e comunicações, infra-estruturas e instalações em geral, e aos membros da sua organização, sem excepções; também se aplicará no caso de entidades e profissionais contratados baixo qualquer modalidade, quando no exercício das suas funções tenham acesso aos sistemas de tecnologias da informação e comunicações.
4. Princípios da política de segurança da informação.
A política de segurança da informação da Administração geral e do sector público autonómico da Galiza desenvolver-se-á, com carácter geral, de acordo com os seguintes princípios:
a) Princípio de confidencialidade: dever-se-á garantir que os activos sejam acessíveis unicamente para aquelas pessoas expressamente autorizadas para isso.
b) Princípio de integridade: dever-se-á assegurar que a informação com a que se trabalha seja completa e precisa, e incidirá na exactidão tanto do seu conteúdo coma dos processos involucrados.
c) Princípio de disponibilidade e continuidade: garantir-se-á a prestação continuada dos serviços e a recuperação imediata ante possíveis continxencias, mediante medidas de recuperação orientadas à restauração dos serviços e da informação associada. Deve-se procurar que os activos estejam disponíveis quando o requeiram as pessoas autorizadas para aceder a eles.
d) Princípio de autenticidade: dever-se-á garantir que a informação se intercambiar com os interlocutores idóneos e que os serviços se acreditem correctamente.
e) Princípio de rastrexabilidade: dever-se-á garantir o seguimento das operações efectuadas sobre a informação e os serviços que o requeiram.
f) Princípio de gestão do risco: gerir a segurança da informação consiste em analisar os riscos, estabelecer medidas de segurança adequadas, eficazes e proporcionadas e incluir a correcção e a melhora contínuas que levem a que a organização seja cada vez mais preventiva que reactiva face aos incidentes de segurança. Devem-se minimizar os riscos até níveis aceitáveis e buscar o equilíbrio entre as medidas de segurança e a natureza da informação.
g) Princípio de prevenção: desenvolver-se-ão planos e linhas de trabalho específicas orientadas a prevenir fraudes, não cumprimentos ou incidentes relacionados com a segurança.
h) Princípio de melhora contínua: rever-se-á de maneira recorrente o grau de eficácia dos controlos de segurança implantados na organização para aumentar a capacidade de adaptação à constante evolução dos riscos e do âmbito tecnológico.
i) Princípio de proporcionalidade em custo: a implantação de medidas que mitiguen os riscos de segurança dos activos deverá fazer-se dentro do marco orçamental previsto para esse efeito e sempre buscando o equilíbrio entre as medidas de segurança, a natureza da informação e o orçamento previsto.
j) Princípio de concienciación e formação: articular-se-ão programas de formação, sensibilização e concienciación para as pessoas utentes em matéria de segurança da informação, devidamente apoiados nas políticas corporativas e com um acomodado processo de seguimento e actualização.
k) Princípio de segurança no ciclo de vida: os requerimento da segurança da informação atender-se-ão durante todo o ciclo de vida dos activos, desde o seu planeamento até a sua retirada.
l) Princípio de função diferenciada: conforme o princípio que estabelece o ENS de considerar a segurança como uma função diferenciada, na Administração geral e do sector público autonómico da Galiza a segurança dos sistemas de informação estará diferenciada da responsabilidade sobre a prestação dos serviços.
m) Princípio de cumprimento normativo: todos os sistemas de informação da Administração geral e do sector público autonómico da Galiza, assim como qualquer processo relacionado, ajustar-se-ão à normativa de aplicação legal regulamentar e sectorial que afecte a segurança da informação, em especial aquela relacionada com a intimidai e a protecção de dados de carácter pessoal e com a segurança dos sistemas, dados, comunicações e serviços electrónicos, que lhes permita aos cidadãos e às administrações públicas o exercício de direitos e o cumprimento de deveres através da tecnologia.
5. Organização da segurança da informação.
5.1. Responsabilidade geral.
A preservação da segurança da informação será considerada objectivo comum de todas as pessoas ao serviço da Administração geral e do sector público autonómico da Galiza, e serão as pessoas, junto com a tecnologia e os processos, o alicerce fundamental para a manutenção da segurança da informação.
5.2. Comissão de Segurança e Governo Electrónico da Administração geral e do sector público autonómico da Galiza.
A Comissão de Segurança e Governo Electrónico da Administração geral e do sector público autonómico da Galiza tem como funções as definidas no Decreto 73/2014, de 12 de junho, pelo que se acreditem e se regulam os órgãos colexiados com competências em matéria de segurança da informação e governo electrónico da Administração geral e do sector público autonómico da Galiza.
5.3. Subcomisión de Segurança.
A Subcomisión de Segurança tem como funções as definidas no Decreto 73/2014, de 12 de junho, pelo que se acreditem e regulam os órgãos colexiados com competências em matéria de segurança da informação e governo electrónico da Administração geral e do sector público autonómico da Galiza.
5.4. Róis no âmbito da segurança da informação requeridos para o cumprimento do ENS.
Seguindo o princípio que estabelece o ENS de considerar a segurança como uma função diferenciada, nos diferentes organismos da Administração geral e do sector público autonómico da Galiza existirão o responsável pela informação, o responsável pelo serviço, o responsável pela segurança TIC e o responsável pelo sistema.
a) Responsável pela informação: dentro do seu âmbito de actuação, é o encarregado de determinar as necessidades de segurança da informação no marco estabelecido pelo anexo I do ENS e de aprovar o risco residual.
b) Responsável pelo serviço: dentro do seu âmbito de actuação, é o encarregado de determinar as necessidades de segurança do serviço no marco do anexo I do ENS, de aprovar a suspensão do serviço e de aprovar o risco residual.
c) Responsável pela segurança TIC: determinará as decisões tecnológicas, no âmbito dos sistemas de informação e telecomunicações, que se hão tomar para proteger adequadamente a informação e os serviços segundo as necessidades estabelecidas pelos responsáveis pela informação e dos serviços.
d) Responsável pelo sistema: dentro do seu âmbito de actuação, é o encarregado de implantar e de controlar as medidas para cumprir com os requisitos de segurança da informação e dos serviços.
5.5. Outros róis no âmbito da segurança da informação.
Definem-se ademais os seguintes róis com competências em matéria de segurança da informação:
a) Responsável por segurança LOPD: as suas funções são as definidas no Real decreto 1720/2007, de 21 de dezembro, pelo que se aprova o regulamento de desenvolvimento da Lei orgânica 15/1999, de 13 de dezembro, de protecção de dados de carácter pessoal.
b) Coordenador de segurança da informação: dentro do seu âmbito de actuação, é o encarregado de coordenar os assuntos relativos à segurança da informação, de promover a formação e concienciación em matéria de segurança da informação, de determinar as decisões que se hão tomar para proteger adequadamente a informação e os serviços e de supervisionar a sua implantação em todos os aspectos não relacionados com as TIC.
5.6. Aprovação de róis e responsabilidades e resolução de conflitos.
As condições que devem cumprir as pessoas com as responsabilidades anteriores serão aprovadas segundo estabelece o artigo 5.j do Decreto 73/2014, de 12 de junho, pelo que se acreditem e se regulam os órgãos colexiados com competências em matéria de segurança da informação e governo electrónico da Administração geral e do sector público autonómico da Galiza.
Enquanto não se estabeleçam os mecanismos que se hão seguir para a resolução de conflitos em cada um dos âmbitos de actuação a que afecte esta política, seguir-se-á o princípio de hierarquia que rege nas administrações públicas, e será o superior xerárquico que corresponda o encarregado de resolver os conflitos que possam surgir.
6. Desenvolvimento da política de segurança.
O corpo normativo sobre segurança da informação é de obrigado cumprimento e desenvolver-se-á em níveis, segundo o âmbito de aplicação e o nível de detalhe técnico, de maneira que cada norma se fundamente nas normas de nível superior. Os supracitados níveis de desenvolvimento são os seguintes:
a) Primeiro: política de segurança da informação. Está constituído pelo presente documento e é de obrigado cumprimento.
b) Segundo: políticas, planos de acção e actuações estratégicas em matéria de segurança da informação. Está constituído pelo conjunto de documentos que tratam da aplicação da presente política. Os documentos relativos a este segundo nível normativo propô-los-á a Subcomisión Operativa de Segurança à Comissão de Segurança e Governo Electrónico, que será quem os aprove.
c) Terceiro: outra normativa de segurança da informação. Está constituído pelo conjunto de normas que desenvolvem a política de segurança e que servem para indicar como se deve actuar. As disposições de âmbito transversal que não estejam baixo a competência de outros órgãos serão aprovadas pela Subcomisión de Segurança.
d) Quarto: procedimentos de segurança. Conjunto de documentos que descrevem explicitamente e passo a passo como se há realizar uma certa actividade. A responsabilidade de aprovação destes procedimentos dependerá do seu âmbito de aplicação, que poderá ser num âmbito específico ou num sistema de informação determinado.
Ademais dos documentos citados, a documentação de segurança poderá contar com outros documentos, como recomendações, boas práticas, relatórios, registros, evidências electrónicas, etc.
7. Gestão da segurança.
7.1. Gestão de riscos.
1) A gestão de riscos é uma parte essencial do processo de segurança e deve realizar-se de maneira contínua sobre os sistemas de informação, com o objectivo de manter os âmbitos controlados e de minimizar os riscos até níveis aceitáveis.
2) A gestão de riscos será preceptiva para os sistemas de informação incluídos dentro do marco estabelecido pelo Real decreto 3/2010, de 8 de janeiro, pelo que se regula o ENS no âmbito da Administração electrónica, e será opcional para o resto dos supostos.
3) Os responsáveis pela informação e do serviço são os responsáveis pelos riscos sobre a informação e os serviços, respectivamente, e serão os que asseguram o seu seguimento e controlo, sem prejuízo da possibilidade de delegar estas tarefas. Para isso, poderão contar no processo com a participação e com o asesoramento do responsável pela segurança TIC e do responsável pelo sistema.
4) Para a realização da análise de riscos ter-se-ão em conta as recomendações publicado para o âmbito da Administração pública e, em especial, as guias elaboradas pelo Centro Criptolóxico Nacional.
5) A avaliação dos riscos repetir-se-á regularmente para os sistemas de informação, dentro do alcance indicado no ponto dois deste número, consonte as recomendações formuladas pelo Centro Criptolóxico Nacional.
7.2. Deveres do pessoal.
1) Todo o pessoal tem o dever de cumprir a política de segurança da informação e a normativa de segurança derivada. O seu não cumprimento poderá ser sancionado de conformidade com a normativa disciplinaria correspondente.
2) Todo pessoal que empregue sistemas de tecnologias da informação e as comunicações receberá formação para o manejo seguro dos supracitados sistemas.
8. Concienciación e formação.
1) Corresponde-lhe à Subcomisión de Segurança promover a formação e a concienciación em matéria de segurança da informação no âmbito da Administração geral do sector público autonómico da Galiza.
2) Desenvolver-se-ão actividades específicas orientadas à formação e à concienciación de todo o pessoal em matéria de segurança da informação, assim como à difusão da política de segurança da informação e do seu desenvolvimento normativo, e estarão dirigidas em particular ao pessoal de nova incorporação.
3) Para estes efeitos, os planos de formação incluirão actividades específicas sobre segurança da informação.
9. Glossário.
|
Activo |
Funcionalidade ou componente que tenha valor para a organização. Inclui: informação, dados, serviços, aplicações, equipamentos, comunicações, recursos administrativos, recursos físicos e recursos humanos. |
|
Ameaça |
Causa potencial de um incidente que pode causar danos a um sistema de informação ou a uma organização. [UNE 71504:2008] As ameaças sempre estão presentes, mas podem-se tentar evitar ou paliar os efeitos da sua materialización. |
|
Análise de riscos |
Processo para a análise das ameaças, vulnerabilidades, riscos e impactos a que está exposto um sistema de informação, tendo em conta as medidas de segurança já presentes. Serve como ponto de partida para identificar as melhoras nas medidas de segurança, tanto no que se refere à efectividade coma aos custos. |
|
Autenticidade |
Propriedade ou característica consistente em que uma entidade é quem diz ser ou se bem que garante a fonte de que procedem os dados. [ENS] |
|
Confidencialidade |
Propriedade ou característica consistente em que a informação nem se põe à disposição nem se revela a indivíduos, entidades ou processos não autorizados. [ENS] |
|
Corpo normativo |
Conjunto de normas que desenvolvem de forma mais concreta a maneira de alcançar os objectivos de uma política. |
|
Dado de carácter pessoal |
Qualquer informação concernente a pessoas físicas identificadas ou identificables. [LOPD] |
|
Disponibilidade |
Propriedade ou característica dos activos consistente em que as entidades ou os processos autorizados têm acesso a estes quando o requerem. [ENS] |
|
Incidente ou incidência de segurança |
Acontecimento inesperado ou não desejado com consequências negativas para a segurança do sistema de informação. [ENS] |
|
Integridade |
Propriedade ou característica consistente em que o activo de informação não foi alterado de maneira não autorizada. [ENS] |
|
LOPD |
Lei orgânica 15/1999, de 13 de dezembro, de protecção de dados de carácter pessoal. |
|
Medidas de segurança |
Conjunto de disposições encaminhadas a proteger dos riscos possíveis sobre o sistema de informação, com o fim de assegurar os seus objectivos de segurança. Pode tratar-se de medidas de prevenção, disuasión, protecção, detecção e reacção, ou bem de recuperação. [ENS] |
|
Política de segurança |
Documento de alto nível que especifica os objectivos em matéria de segurança de uma organização e reflecte o compromisso da direcção para alcançá-los. |
|
Processo |
Conjunto organizado de actividades que se levam a cabo para produzir um produto ou serviço; tem um princípio e um fim delimitados, implica recursos e dá lugar a um resultado. [ENS] |
|
RLOPD |
Regulamento de desenvolvimento da LOPD, aprovado pelo Real decreto 1720/2007, de 21 de dezembro. |
|
Risco |
Estimação do grau de exposição a que uma ameaça se materializar sobre um ou mais activos, com danos ou perdas para a organização. [ENS] |
|
Risco residual |
Risco remanente no sistema trás a implantação de umas determinadas salvaguardar no plano de tratamento de riscos. |
|
Segurança da informação |
Protecção da informação e dos sistemas de informação face ao acesso, uso, divulgação, alteração, modificação ou destruição não autorizados. |
|
Sistema de informação |
Conjunto organizado de recursos para que a informação se possa recolher, armazenar, processar ou tratar, manter, usar, partilhar, distribuir, pôr à disposição, apresentar ou transmitir. [ENS] |
|
Suporte |
Meio físico de qualquer tipo (papel, DVD, discos portátiles, etc.) utilizado para armazenar informação. |
|
Rastrexabilidade |
Propriedade ou característica consistente em que as actuações de uma entidade podem ser imputadas exclusivamente à supracitada entidade. [ENS] |
|
Vulnerabilidade |
Uma debilidade que pode ser aproveitada por uma ameaça. [ENS] |
|
Gestão de continuidade |
Actividades que leva a cabo uma organização para assegurar que todos os processos de negócio críticos estarão disponíveis para os seus utentes, clientes, provedores e outras entidades que devam utilizá-los. |
|
Gestão de incidentes |
Processos orientados a recuperar o nível habitual de funcionamento do serviço e a minimizar em todo o possível o impacto negativo na organização, de forma que se mantenham a qualidade do serviço e a disponibilidade. |
|
Gestão de riscos |
Actividades coordenadas para dirigir e controlar uma organização com respeito aos riscos. [ENS] |