DOG 31 do 16/02/2021 - ORDE do 1 de febreiro de 2021 de regulación do Comité de Seguridade da Información do Fondo Galego de Garantía Agraria e de adaptación da normativa de seguridade da información.

I. Disposicións xerais

Consellería do Medio Rural

ORDE do 1 de febreiro de 2021 de regulación do Comité de Seguridade da Información do Fondo Galego de Garantía Agraria e de adaptación da normativa de seguridade da información.

A Lei 39/2015, do 1 de outubro, do procedemento administrativo común das administracións públicas, no seu artigo 13, configura como un dos dereitos das persoas nas súas relacións coas administracións públicas os relativos á seguridade e confidencialidade dos datos das persoas que figuren nos arquivos, sistemas e aplicacións das administracións públicas.

Doutra banda, a Lei 40/2015, do 1 de outubro, de réxime xurídico do sector público, regula no seu artigo 156 o Esquema nacional de seguridade no ámbito da Administración electrónica. Este último é obxecto de regulación específica no Real decreto 3/2010, do 8 de xaneiro, polo que se regula o Esquema nacional de seguridade no ámbito da administración electrónica, que foi modificado mediante Real decreto 951/2015, do 23 de outubro.

O Esquema nacional de seguridade, tal e como expón o Real decreto 3/2010, do 8 de xaneiro, persegue a creación das condicións necesarias de confianza no uso dos medios electrónicos, a través de medidas para garantir a seguridade dos sistemas, dos datos, das comunicacións e dos servizos electrónicos, que permita á cidadanía e ás administracións públicas o exercicio de dereitos e o cumprimento dos seus deberes a través da aplicación segura destas tecnoloxías.

O artigo 11 do Real decreto 3/2010, do 8 de xaneiro, obriga a todos os órganos superiores das administracións públicas a dispoñer formalmente da súa política de seguridade. Nesta política debe constar a organización e implantación do proceso de seguridade.

Cómpre ter tamén presente a regulación contida no Regulamento (UE) 2016/679 do Parlamento Europeo e do Consello, do 27 de abril de 2016, relativo á protección das persoas físicas no que respecta ao tratamento de datos persoais e libre circulación destes datos e polo que se derroga a Directiva 95/46/CE (tamén denominado Regulamento de protección de datos). Este regulamento ter por obxecto protexer os dereitos e liberdades fundamentais das persoas físicas e, en particular, o seu dereito á protección dos datos persoais.

Para dar cumprimento á normativa anteriormente citada, a Xunta de Galicia conta coa política de seguridade da información da Administración xeral e do sector público autonómico de Galicia, aprobada polo Consello da Xunta mediante Resolución do 4 de maio de 2018 da Axencia para a Modernización Tecnolóxica de Galicia, pola que se publica a modificación da política de seguridade da información da Administración xeral e do sector público autonómico de Galicia, publicada no Diario Oficial de Galicia núm. 91, do 14 de maio de 2018.

No punto 5.5.a) desta resolución regúlase a figura da persoa coordinadora de Seguridade da Información, que é a persoa encargada de coordinar os asuntos relativos á seguridade da información dentro do seu ámbito de actuación, de promover a formación e concienciación en materia de seguridade da información, de determinar as decisións que se tomen para protexer adecuadamente a información e os servizos e de supervisar a súa implantación en todos os aspectos non relacionados coas TIC. Esta figura defínese con máis precisión no modelo de roles e responsabilidades aprobado pola Comisión de Seguridade e Goberno Electrónico, onde se recomenda que as súas funcións sexan asumidas por un órgano colexiado. Esta previsión posteriormente recóllese no artigo 8.1 do Decreto 73/2014, do 12 de xuño, polo que se crean e regulan os órganos colexiados con competencias en materia de seguridade da información e goberno electrónico da Administración xeral e do sector público autonómico de Galicia, consonte a modificación que del efectuou o Decreto 169/2016, do 24 de novembro.

De aí a conveniencia de regular formalmente un órgano colexiado en materia de seguridade da información no seo do Fondo Galego de Garantía Agraria (Fogga), que é o Comité de Seguridade do Fondo Galego de Garantía Agraria, que ten que dispoñer de importantes facultades de coordinación nesta materia.

Esta norma prevé a participación da Axencia para la Modernización Tecnolóxica de Galicia (Amtega) no citado comité. En concreto, disporá de dous membros permanentes no comité. A este respecto cómpre salientar que a Amtega é unidade competente na xestión dos sistemas de información que dan servizo ao Fogga. Así mesmo, a Amtega é a encargada, de acordo coas competencias e acordos legalmente establecidos, de aplicar as medidas técnicas que protexan os activos técnicos que xestiona para as consellerías da Xunta de Galicia acollidas ao seu réxime.

O Decreto 130/2020, do 17 de setembro, polo que se fixa a estrutura orgánica das vicepresidencias e das consellerías da Xunta de Galicia, regulou a estrutura das diversas consellerías e preveu a adscrición do organismo autónomo Fogga á Consellería do Medio Rural.

Así mesmo, o Decreto 149/2018, do 5 de decembro, polo que se establece a estrutura orgánica da Consellería do Medio Rural e se modifica parcialmente o Decreto 177/2016, do 15 de decembro, polo que se fixa a estrutura orgánica da Vicepresidencia e das consellerías da Xunta de Galicia, no seu artigo 2.2.a) adscribe a esta o Fondo Galego de Garantía Agraria (Fogga), que é un organismo autónomo de carácter comercial e financeiro creado pola Lei 7/1994, do 29 de decembro.

O Decreto 155/2006, do 7 de setembro, polo que se establece o réxime do organismo pagador dos fondos europeos agrarios de Galicia, constitúe o Fogga como organismo pagador do Fondo Europeo Agrícola de Garantía (Feaga) e o Fondo Europeo Agrícola para o Desenvolvemento Rural (Feader).

Segundo os estatutos deste organismo, aprobados polo Decreto 7/2014, do 16 de xaneiro, o Fondo Galego de Garantía Agraria (Fogga) configúrase como unha entidade pública instrumental, con personalidade xurídica propia e diferenciada respecto da Administración xeral da Comunidade Autónoma de Galicia e plena capacidade de obrar para o cumprimento do seus fins. De especial relevancia en relación coa configuración e estrutura interna do Fogga resulta a súa consideración como organismo pagador dos fondos europeos agrícolas en Galicia, en virtude do disposto no Decreto 155/2006, do 7 de setembro, e na Orde do 4 de outubro de 2007 pola que se autoriza o Fondo Galego de Garantía Agraria como organismo pagador dos ditos fondos en Galicia.

En tanto organismo pagador, debe respectar as prescricións previstas no Regulamento (UE) nº 907/2014 da Comisión, do 11 de marzo de 2014, que completa o Regulamento (UE) nº 1306/2013 do Parlamento Europeo e do Consello, no relativo aos organismos pagadores e outros órganos, a xestión financeira, a liquidación de contas, as garantías e o uso do euro. O artigo 1.2.c) deste regulamento exixe que os organismos pagadores cumpran os criterios de autorización previstos no seu anexo I en diversos ámbitos, como o da información e comunicación.

O anexo I.3 do Regulamento 907/2014 exixe que o organismo pagador aplique en materia de seguridade da información os criterios previstos nas normas que contén.

Tendo en conta a actual actividade de xestión e control do Fogga resulta axeitada a aplicación do código de prácticas para a xestión da seguridade da información contido na norma ISO 27002. Así pois, esta orde regula a utilización dese estándar de seguridade no ámbito do Fogga.

O Regulamento (UE) nº 1306/2013 do Parlamento Europeo e do Consello, do 17 de decembro de 2013, sobre o financiamento, xestión e seguimento da política agrícola común, polo que se derrogan os regulamentos (CE) nº 352/78, (CE) nº 165/94, (CE) nº 2799/98, (CE) nº 814/2000, (CE) nº 1290/2005 e (CE) nº 485/2008 do Consello faculta, no seu artigo 7.1, os organismos pagadores para delegaren a realización das súas tarefas de xestión e control dos gastos, con excepción da execución dos pagamentos. En particular, o artigo 1.2 do citado Decreto 155/2006, do 7 de setembro, faculta expresamente o Fogga para delegar as súas tarefas, con excepción do pagamento das axudas comunitarias. Porén, convén ter presente que as mesmas exixencias que se regulan para o organismo pagador son aplicables ás unidades en que este delegue as súas tarefas. En consonancia con isto, cando se alude ao estándar de seguridade do Fogga, por extensión estase facendo referencia ao estándar aplicable ás entidades e unidades en que este delegou as súas tarefas, ás cales se aplicarán as súas exixencias exclusivamente no ámbito de xestión dos fondos Feaga e/ou Feader, non nos restantes ámbitos de actuación que poidan ter.

Na súa virtude, no exercicio das facultades que me foron concedidas con base no artigo 34 da Lei 1/1983, do 22 de febreiro, de normas reguladoras da Xunta e da súa Presidencia,

DISPOÑO:

TÍTULO PRELIMINAR

Disposicións xerais

Artigo 1. Obxecto

Esta orde ten por obxecto:

a) Regular o Comité de Seguridade do Fondo Galego de Garantía Agraria.

b) Establecer o estándar de calidade ISO 27002 como norma básica para a implantación do sistema de seguridade das tecnoloxías da información no ámbito do Fogga. A aplicación deste estándar de calidade ISO 27002 leva implícito o cumprimento das exixencias do Esquema nacional de seguridade.

TÍTULO I

Comité de Seguridade da Información do Fogga

Artigo 2. Natureza e composición

1. O Comité de Seguridade do Fogga é o órgano paritario de participación no Fogga destinado á consulta regular e periódica das actuacións en materia de xestión de seguridade da información.

2. O Comité de Seguridade de Fogga está integrado por membros permanentes, membros invitados e membros especiais.

3. Os membros permanentes do Comité de Seguridade do Fogga son:

a) A persoa titular da Secretaría do Fogga.

b) A persoa titular do Servizo de Xestión Económica do Fogga.

c) A persoa titular do Servizo de Xestión Administrativa do Fogga.

d) A persoa titular da Subdirección Xeral de Xestión da PAC.

e) A persoa titular do Servizo de Auditoría Interna do Fogga.

f) Un máximo de dúas persoas representantes da Axencia para a Modernización Tecnolóxica de Galicia, como unidade competente na xestión dos sistemas de información que dan servizo ao Fogga. Unha das persoas previstas nesta letra deberá representar a unidade da Amtega competente en materia de seguridade da información.

4. Os membros invitados do Comité de Seguridade do Fogga son os que se indican a seguir:

a) Unha persoa representante de cada un dos xestores autorizados polo Fogga dos fondos europeos Feaga e Feader. Cada unidade xestora autorizada é competente para designar o seu representante e un suplente, que comunicará á Secretaría do Fogga.

b) Unha persoa representante da Subdirección Xeral de Auditoría de Fondos Comunitarios e Subvencións integrada na Intervención Xeral de la Xunta de Galicia.

5. O Comité de Seguridade da Información do Fogga contará cunha presidencia e unha secretaría.

6. Na composición do Comité atenderase ao principio de presenza equilibrada de mulleres e homes. A comunicación que se realice para a designación de representantes lembrará a importancia social de tender a este obxectivo de igualdade.

Artigo 3. Presidencia

1. A presidencia do Comité de Seguridade da Información do Fogga será asumida pola persoa titular da Secretaría do Fogga.

2. En caso de vacante, ausencia ou enfermidade, a persoa titular da presidencia será substituída pola persoa titular da Subdirección Xeral de Xestión da PAC e, na súa falta, pola persoa que designe a Presidencia.

3. Son funcións da presidencia as seguintes:

a) Impulsar e dirixir a acción e proxectos aprobados no Comité de Seguridade.

b) Representar o Comité de Seguridade.

c) Convocar as reunións do Comité e establecer a orde do día, tendo en conta as peticións dos demais membros do Comité presentadas coa debida antelación.

d) Presidir as reunións, moderar os debates e suspendelos por causas xustificadas.

e) Visar as actas e os certificados dos acordos do Comité.

Artigo 4. Secretaría

1. A secretaría do Comité de Seguridade da Información será asumida pola persoa titular do Servizo de Xestión Administrativa do Fogga.

2. En caso de vacante, ausencia ou enfermidade, a persoa titular da presidencia será substituída pola persoa titular do Servizo de Xestión Económico do Fogga e, na súa falta, pola persoa que designe a persoa titular da secretaría do Comité.

3. Son funcións da persoa titular da secretaría as seguintes:

a) Representar o Comité de Seguridade.

b) Efectuar as convocatorias do Comité en nome da presidencia, así como enviar outras comunicacións aos seus membros.

c) Redactar as actas de cada sesión e expedir certificados dos acordos adoptados.

d) Custodiar a documentación relativa ao Comité.

Artigo 5. Membros permanentes do Comité

1. Os membros permanentes do Comité disporán de voz e voto das reunións.

2. Corresponden aos membros permanentes do Comité as seguintes funcións:

a) Participar nos debates, presentar propostas e exercer o seu dereito ao voto.

b) Formular propostas para a orde do día.

c) Demandar a información que precisen para o desenvolvemento das súas funcións.

3. A Axencia para a Modernización Tecnolóxica de Galicia (Amtega) disporá de dous membros permanentes no Comité.

Artigo 6. Membros invitados do Comité

Os membros invitados poden asistir ás sesións con voz pero sen voto, co obxecto de dispoñer da facultade de coñecer as cuestións de interese para o cumprimento da normativa en materia de seguridade da información a que están obrigados.

Artigo 7. Membros especiais

Poderán asistir en calidade de membros especiais, con voz pero sen voto, ás reunións do Comité:

a) Os suplentes dos membros, aínda que asista o titular.

b) O persoal doutras unidades ou entidades cando o solicite algún membro permanente por consideralo relevante para a toma de decisións da Comisión.

Artigo 8. Ámbito de actuación

O Comité de Seguridade da Información do Fogga ten como ámbito de actuación os aspectos relativos á seguridade da información requiridos ao Fogga pola lexislación aplicable, pola normativa de protección de datos de carácter persoal e outras, así como pola normativa corporativa de maior nivel, e que non sexan competencia da Amtega ou das unidades TIC con competencias non asumidas por esta.

Artigo 9. Funcións

De acordo coa política de seguridade as funcións do Comité de Seguridade do Fogga son as seguintes:

a) Promover que os requisitos de seguridade estean aliñados cos obxectivos estratéxicos do Fogga.

b) Coordinar a implantación da política de seguridade no Fogga.

c) Supervisar os cambios significativos dos sistemas que poidan afectar a política de seguridade.

d) Revisar a efectividade da política de seguridade e informes de incidencias máis significativas nesta materia.

e) Deseñar os procedementos de seguridade dentro do Fogga e a súa aprobación.

f) Manter a política de seguridade actualizada e aliñada coas actividades do Fogga e controlar as ameazas sobre a información e outros activos do Fogga.

g) Investigar e actuar para previr incidencias de seguridade.

h) Asegurar que se dispón dos recursos necesarios para dar resposta ás demandas.

i) Propor a designación de responsabilidades de seguridade asociadas a cada elemento das políticas de seguridade dentro do Fogga.

j) Promover iniciativas sobre a seguridade da información e revisar o estado da seguridade da información.

k) Centralizar a planificación, desenvolvemento e control de proxectos de seguridade, definindo metodoloxías e procesos para a xestión da seguridade da información.

l) Implantar e administrar os controis de seguridade dos sistemas de información, podendo delegar tarefas de xestión de usuarios noutras unidades e encargándose a Amtega da parte técnica que lle corresponde.

m) Liderar e impulsar a adopción de normas de seguridade da información, de carácter obrigatorio, nas entidades e organismos xestores delegados (normas ISO 27001 e ISO 27002), do Esquema nacional de seguridade no ámbito do Fogga en coordinación coas directrices corporativas da Xunta de Galicia nesta materia e do Regulamento (UE) 2016/679 do Parlamento Europeo e do Consello, do 27 de abril de 2016, relativo á protección das persoas físicas no que respecta ao tratamento de datos persoais e á libre circulación destes datos e polo que se derroga a Directiva 95/46/CE; da Lei orgánica 3/2018, do 5 de decembro, de protección de datos persoais e garantía dos dereitos dixitais e demais normativa nacional de aplicación, en coordinación coas directrices corporativas da Xunta de Galicia nesta materia.

Artigo 10. Funcionamento

1. O Comité réxese para o exercicio das súas funcións polas súas propias normas de funcionamento e réxime interno, mediante a aprobación dun regulamento interno de funcionamento.

2. Sen prexuízo do anterior, o funcionamento do comité axustarase ao establecido nos artigos 16 ao 21 da Lei 16/2010, do 17 de decembro, de organización e funcionamento da Administración xeral e do sector público autonómico de Galicia, e nos artigos 15 ao 18 da Lei 40/2015, do 1 de outubro, de réxime xurídico do sector público.

TÍTULO II

Estándar de seguridade do Fogga

Artigo 11. Estándar de seguridade no Fogga e requisitos do Esquema nacional de seguridade

O Fondo Galego de Garantía Agraria axustarase na súa actuación ao Código de prácticas para a xestión da seguridade da información contido na norma ISO 27002, que será a norma básica para a implantación do sistema de seguridade das tecnoloxías da información no ámbito do Fogga consonte o previsto no anexo I.3 do Regulamento 907/2014 da Comisión, do 11 de marzo de 2014, que completa o Regulamento (UE) nº 1306/2013 do Parlamento Europeo e do Consello, no relativo aos organismos pagadores e outros órganos, a xestión financeira, a liquidación de contas, as garantías e o uso do euro. A aplicación deste estándar de calidade ISO 27002 leva implícito o cumprimento das exixencias do Esquema nacional de seguridade.

Disposición adicional primeira. Non incremento do gasto

A constitución e o funcionamento do órgano colexiado previsto nesta orde non suporán en ningún caso un incremento do gasto público e non xerará aumento dos créditos orzamentarios asignados ao Fogga.

Disposición derrogatoria. Derrogación normativa

Queda derrogada a Orde do 4 de xullo de 2005 pola que se adopta o estándar de calidade ISO 17799 como norma de seguridade dos sistemas de información da Consellería de Política Agroalimentaria e Desevolvemento Rural.

Disposición derradeira primeira. Facultade de desenvolvemento

Facúltase a persoa titular da Dirección do Fogga, no ámbito das súas respectivas competencias, para ditar as instrucións precisas para o desenvolvemento e execución desta orde.

Disposición derradeira segunda. Entrada en vigor

Esta orde entrará en vigor o día seguinte ao da súa publicación no Diario Oficial de Galicia.

Santiago de Compostela 1 de febreiro de 2021

José González Vázquez
Conselleiro do Medio Rural