Post on 25-Aug-2020
Esquema Nacional de Seguretat de la Informació (RD 3/2010) Política de seguretat de la información de la UV (ACGUV 13/2014) Reglament de seguretat de la informació de la UV (ACGUV 227/2014)
Normatives de seguretat de la informació d'aplicació en la Universitat de València
Servei d’Informàtica (Universitat de València)
1. Per què la Universitat ha aprovat normes sobre la seguretat de la informació?
2. Esquema nacional de seguretat de la informació (ENS)
3. Política de seguretat de la informació
4. Reglament de seguretat de la informació
2Abril, 2016
ÍNDEX
1. PER QUÈ LA UNIVERSITAT HA APROVAT
NORMES SOBRE LA SEGURETAT DE LA
INFORMACIÓ?
Exigència legal per a totes les administracions públiques
3Abril, 2016
• L’Esquema Nacional de Seguretat de la informació en l'àmbit de l’administració electrònica (RD 3/2010, de 8 de gener) estableix que les administracions públiques disposaran d'una sèrie de documents que descriguen:
a) L'ús correcte d'equips, serveis i instal·lacions.
b) El que es considerarà ús indegut.
c) La responsabilitat del personal pel que fa al complimento violació d'aquestes normes.
4Abril, 2016
Exigència per a totes les AP
• La Universitat de València s'ha adaptat als requisits del ENS i disposa de:
Política de seguretat de la informació en la utilització de mitjans electrònics (ACGUV 13/2014)
Reglament de seguretat de la informació en la utilització de mitjans electrònics (ACGUV 227/2014)
5Abril, 2016
Normes aprovades en la UV
2. ESQUEMA NACIONAL DE SEGURETAT DE
LA INFORMACIÓ EN L’ÀMBIT DE
L’ADMINISTRACIÓ ELECTRÓNICA (ENS)
Reial decret 3/2010, de 8 de gener
6Abril, 2016
• Permetre als ciutadans i a les Administracions públiques l'exercici de drets i el compliment de deuresal relacionarse mediante el uso de mitjans electrònics.
• CONFIANÇA dels ciutadans en les AdministracionsPúbliques, garantint la seguretat de: els sistemes,
les dades,
les comunicacions,
els serveis electrònics
7Abril, 2016
ENS: Objectius
8Abril, 2016
Confiança del ciutadà
etc.
Dipositen informació
Confiança en un correcte tractamentde la seua informació
• La seguretat és un procés integral, que implica:
Mitjos tècnics, humans, materials i organitzatius.
CONSCIENCIACIÓ de les persones que intervenenen el procés: direcció de l'organització, personal tècnic i usuaris finals.
9Abril, 2016
ENS: Principis (i)
Implica a tota la Universitat
• La seguretat és una tasca contínua:
Definir un Sistema Gestió de la Seguretat.
Minimitzar els riscos fins a nivells acceptables.
Qüestió d'equilibri:
o naturalesa de les dades i els tractaments,
o riscos als quals estiguen exposats,
o mesures de seguretat.
10Abril, 2016
ENS: Principis (ii)
El risc zerono existeix
• Què cal fer?
Prevenir
Dissuadir
Detectar
Eliminar riscos (o reduir)
Recuperar (en cas d'incident)
11Abril, 2016
ENS: Principis (iii)
• ENS - Article 5. La seguretat com un procés integral.
“S’ha de prestar la màxima atenció a la conscienciació de les persones que intervenen en el procés i als seus responsables jeràrquics, perquè, ni la ignorància, ni la falta d'organització i coordinació, ni instruccions inadequades, siguen fonts de risc per a la seguretat.”
12Abril, 2016
ENS: Conscienciació
DESCARREGAR
Esquema Nacional de Seguretat de la información en l'àmbit de l'Administració Electrònica (ENS), Reial decret 3/2010, de 8 de gener
Pàgina web del BOE
13Abril, 2016
Text de l’ENS
3. POLÍTICA DE SEGURETAT DE LA
INFORMACIÓ DE LA UV
Acord de Consell de Govern de la Universitat (ACGUV 13/2014)
14Abril, 2016
• Directrius sobre l'abast i l'organització de la seguretat de la informació a la UV, en especial:
Sistemes i serveis sobre els quals la Universitataplica l’ENS.
Estructura organitzativa de la seguretat a la UV (organigrama).
15Abril, 2016
Què defineix la política?
1. Gestió acadèmica:
Serveis de gestió acadèmica
Serveis de préstecs bibliotecaris
2. Gestió d’automatrícula (subsistema de gestió acadèmica):
Servei d’automatrícula
Servei d’admissió a la Universitat
3. Gestió d’actes (subsistema de gestióacadèmica):
Servei d’actes d’avaluació
4. Gestió de títols (subsistema de gestióacadèmica):
Serveis de sol·licitud i emissió de títols
16Abril, 2016
Abast del ENS en la UV
5. Seu electrònica:
Serveis per a PAS-PDI
Serveis vinculats a la investigació
Serveis per a estudiants
Serveis a externs
6. Gestió econòmica:
Serveis de contractacióadministrativa
7. Sistema de docència virtual:
Aula Virtual
8. Portal web de la Universitat:
Serveis d’informacióadministrativa
Sistemes i serveis sobre els quals s’aplica el ENS a la UV
Comitè de gestió i coordinació de la seguretat
de la informació
Responsable de la informació
Responsable delsserveis (*)
Responsable de seguretat de la
informació
Tècnic de seguretat de la información (**)
Responsables delssistemes (**)
17Abril, 2016
Organigrama de la seguretat
Vicerector/a responsable de les TIC Gerent Secretari/ària general Dos responsables dels serveis de la Universitat Responsable de seguretat de la informació
Secretari/ària general
(*) Responsabilitat assumida pel Comitè de gestió i coordinacióde la seguretat de la informació
Director/a del Serv. d’Informàtica
(**) Nomenats pel responsable de seguretat de la informació
responsable de la informació proporcionada per la Universitat
responsable dels serveisoferts per mitjanselectrònics en la Universitat
responsables dels aspectes tècnics de la seguretat
DESCARREGAR
Política de seguretat de la informació en la utilització de mitjans electrònics de la Universitat de València, ACGUV 13/2014:
Pàgina web de la Secr. General de la UV
18Abril, 2016
Text de la Política de seguretat
4. REGLAMENT DE SEGURETAT DE LA
INFORMACIÓN DE LA UV
Acord de Consell de Govern de la Universitat (ACGUV 227/2014)
19Abril, 2016
• Garantir els drets dels ciutadans en la seua relació amb la Universitat.
Protegir la informació dipositada en la Universitatde València i evitar-hi accessos no autoritzats.
• Garantir als usuaris interns l'accés a la informació amb la quantitat i qualitat que es requereix per a l'acompliment del treball.
20Abril, 2016
Objectius del Reglament
• El reglament és un instrument al servei de la Universitat i de tots els usuaris, que ha de:
Proporcionar confiança en els sistemes.
Preservar l'exercici de les funcions i responsabilitats pròpies de cada usuari.
Garantir la qualitat i veracitat de la informació objecte de tractament.
21Abril, 2016
Plantejament del Reglament
• Usuaris dels sistemes d‘informació de la Universitat de València sota l'abast de l’ENS:
Qualsevol empleat públic de la Universitat de València.
Membres de comissions o òrgans relacionats amb la Universitat de València.
Personal de prestadors de serveis, entitats col·laboradores o qualsevol altre amb algun tipus de vinculació amb la Universitat de València quan utilitzeo tinga accés als seus sistemes d‘informació.
22Abril, 2016
A qui afecta el Reglament
• Classificació de la información:
Aclarir què difusió es pot donar a la informaciódipositada pels ciutadans a la Universitat.
• Normes de seguretat:
Com s'ha d'actuar en relació als sistemesd'informació utilitzats en el treball diari.
Són aplicables en funció del tipus de treballdesenvolupat i/o del nivell de responsabilitat.
23Abril, 2016
Aspectes rellevants
• No classificada: Informació de caràcter públic.
• Restringida: Informació d’ús intern i pot ser compartida entre el personal amb competència en el seu tractament. Pot ser catalogada com de difusió limitada si pot ser
compartida també amb tercers interessats com administrats o proveïdors vinculats amb algun tipus de contracte.
• Confidencial: Aquesta informació ha de ser únicament compartida entre personal que en virtut de les seues funcions haja de ser coneixedor de la mateixa.
24Abril, 2016
Categories de la informació
• Correspon al Comitè de Gestió i Coordinació de la Seguretatde la Informació la classificació de la informació contingudaen els sistemes d'informació de la Universitat.
• Com a principi general, la informació es classifica com restringida (d’ús intern).
• Els responsables de Servei (Unitats de gestió o Centres) poden reclassificar algun tipus d'informació o document amb motiu de l'acompliment de les funcions pròpies del servei, tenint en compte les directrius fixades pel Comitè de Gestió i Coordinació de la Seguretat de la Informació.
25Abril, 2016
Qui classifica la informació?
Classificacióper defecte
• Es defineix un conjunt de 39 normes sobre 8 aspectes (situacions) diferents.
• Les normes pretenen establir unes bonespràctiques en el nostre treball diari, que es poden estendre a altres sistemes d'informacióencara que no siguen els inclosos en l’ENS.
26Abril, 2016
Normes de seguretat
Article Aspecte
4 Controls d'accés físic i lògic
5 Ús, manteniment i destrucció de dispositius o suports que continguen informació protegida
6 Eixides i entrades de dades
7 Correu electrònic i xarxa corporativa
8 Recursos informàtics
9 Incidències de seguretat
10 Informació institucional i dades personals
11 Publicació en web
27Abril, 2016
Organització de les normes
DESCARREGAR
Reglament de seguretat de la informació en la utilització de mitjans electrònics de la Universitat de València, ACGUV 227/2014:
Pàgina web de la Secr. General de la UV
28Abril, 2016
Text del Reglament de seguretat
Servei d’Informàtica (Universitat de València)
Si tens algun dubte concret sobre la seguretat o el tractament de les dades, envia un correu electrònic a:
lopd@uv.es