Esquema Nacional de Seguretat de la Informació (RD 3/2010) Política de seguretat de la información de la UV (ACGUV 13/2014) Reglament de seguretat de la informació de la UV (ACGUV 227/2014)

Normatives de seguretat de la informació d'aplicació en la Universitat de València

Servei d’Informàtica (Universitat de València)

1. Per què la Universitat ha aprovat normes sobre la seguretat de la informació?

2. Esquema nacional de seguretat de la informació (ENS)

3. Política de seguretat de la informació

4. Reglament de seguretat de la informació

2Abril, 2016

ÍNDEX

1. PER QUÈ LA UNIVERSITAT HA APROVAT

NORMES SOBRE LA SEGURETAT DE LA

INFORMACIÓ?

Exigència legal per a totes les administracions públiques

3Abril, 2016

• L’Esquema Nacional de Seguretat de la informació en l'àmbit de l’administració electrònica (RD 3/2010, de 8 de gener) estableix que les administracions públiques disposaran d'una sèrie de documents que descriguen:

a) L'ús correcte d'equips, serveis i instal·lacions.

b) El que es considerarà ús indegut.

c) La responsabilitat del personal pel que fa al complimento violació d'aquestes normes.

4Abril, 2016

Exigència per a totes les AP

• La Universitat de València s'ha adaptat als requisits del ENS i disposa de:

Política de seguretat de la informació en la utilització de mitjans electrònics (ACGUV 13/2014)

Reglament de seguretat de la informació en la utilització de mitjans electrònics (ACGUV 227/2014)

5Abril, 2016

Normes aprovades en la UV

2. ESQUEMA NACIONAL DE SEGURETAT DE

LA INFORMACIÓ EN L’ÀMBIT DE

L’ADMINISTRACIÓ ELECTRÓNICA (ENS)

Reial decret 3/2010, de 8 de gener

6Abril, 2016

• Permetre als ciutadans i a les Administracions públiques l'exercici de drets i el compliment de deuresal relacionarse mediante el uso de mitjans electrònics.

• CONFIANÇA dels ciutadans en les AdministracionsPúbliques, garantint la seguretat de: els sistemes,

les dades,

les comunicacions,

els serveis electrònics

7Abril, 2016

ENS: Objectius

8Abril, 2016

Confiança del ciutadà

etc.

Dipositen informació

Confiança en un correcte tractamentde la seua informació

• La seguretat és un procés integral, que implica:

Mitjos tècnics, humans, materials i organitzatius.

CONSCIENCIACIÓ de les persones que intervenenen el procés: direcció de l'organització, personal tècnic i usuaris finals.

9Abril, 2016

ENS: Principis (i)

Implica a tota la Universitat

• La seguretat és una tasca contínua:

Definir un Sistema Gestió de la Seguretat.

Minimitzar els riscos fins a nivells acceptables.

Qüestió d'equilibri:

o naturalesa de les dades i els tractaments,

o riscos als quals estiguen exposats,

o mesures de seguretat.

10Abril, 2016

ENS: Principis (ii)

El risc zerono existeix

• Què cal fer?

Prevenir

Dissuadir

Detectar

Eliminar riscos (o reduir)

Recuperar (en cas d'incident)

11Abril, 2016

ENS: Principis (iii)

• ENS - Article 5. La seguretat com un procés integral.

“S’ha de prestar la màxima atenció a la conscienciació de les persones que intervenen en el procés i als seus responsables jeràrquics, perquè, ni la ignorància, ni la falta d'organització i coordinació, ni instruccions inadequades, siguen fonts de risc per a la seguretat.”

12Abril, 2016

ENS: Conscienciació

DESCARREGAR

Esquema Nacional de Seguretat de la información en l'àmbit de l'Administració Electrònica (ENS), Reial decret 3/2010, de 8 de gener

Pàgina web del BOE

13Abril, 2016

Text de l’ENS

3. POLÍTICA DE SEGURETAT DE LA

INFORMACIÓ DE LA UV

Acord de Consell de Govern de la Universitat (ACGUV 13/2014)

14Abril, 2016

• Directrius sobre l'abast i l'organització de la seguretat de la informació a la UV, en especial:

Sistemes i serveis sobre els quals la Universitataplica l’ENS.

Estructura organitzativa de la seguretat a la UV (organigrama).

15Abril, 2016

Què defineix la política?

1. Gestió acadèmica:

Serveis de gestió acadèmica

Serveis de préstecs bibliotecaris

2. Gestió d’automatrícula (subsistema de gestió acadèmica):

Servei d’automatrícula

Servei d’admissió a la Universitat

3. Gestió d’actes (subsistema de gestióacadèmica):

Servei d’actes d’avaluació

4. Gestió de títols (subsistema de gestióacadèmica):

Serveis de sol·licitud i emissió de títols

16Abril, 2016

Abast del ENS en la UV

5. Seu electrònica:

Serveis per a PAS-PDI

Serveis vinculats a la investigació

Serveis per a estudiants

Serveis a externs

6. Gestió econòmica:

Serveis de contractacióadministrativa

7. Sistema de docència virtual:

Aula Virtual

8. Portal web de la Universitat:

Serveis d’informacióadministrativa

Sistemes i serveis sobre els quals s’aplica el ENS a la UV

Comitè de gestió i coordinació de la seguretat

de la informació

Responsable de la informació

Responsable delsserveis (*)

Responsable de seguretat de la

informació

Tècnic de seguretat de la información (**)

Responsables delssistemes (**)

17Abril, 2016

Organigrama de la seguretat

Vicerector/a responsable de les TIC Gerent Secretari/ària general Dos responsables dels serveis de la Universitat Responsable de seguretat de la informació

Secretari/ària general

(*) Responsabilitat assumida pel Comitè de gestió i coordinacióde la seguretat de la informació

Director/a del Serv. d’Informàtica

(**) Nomenats pel responsable de seguretat de la informació

responsable de la informació proporcionada per la Universitat

responsable dels serveisoferts per mitjanselectrònics en la Universitat

responsables dels aspectes tècnics de la seguretat

DESCARREGAR

Política de seguretat de la informació en la utilització de mitjans electrònics de la Universitat de València, ACGUV 13/2014:

Pàgina web de la Secr. General de la UV

18Abril, 2016

Text de la Política de seguretat

4. REGLAMENT DE SEGURETAT DE LA

INFORMACIÓN DE LA UV

Acord de Consell de Govern de la Universitat (ACGUV 227/2014)

19Abril, 2016

• Garantir els drets dels ciutadans en la seua relació amb la Universitat.

Protegir la informació dipositada en la Universitatde València i evitar-hi accessos no autoritzats.

• Garantir als usuaris interns l'accés a la informació amb la quantitat i qualitat que es requereix per a l'acompliment del treball.

20Abril, 2016

Objectius del Reglament

• El reglament és un instrument al servei de la Universitat i de tots els usuaris, que ha de:

Proporcionar confiança en els sistemes.

Preservar l'exercici de les funcions i responsabilitats pròpies de cada usuari.

Garantir la qualitat i veracitat de la informació objecte de tractament.

21Abril, 2016

Plantejament del Reglament

• Usuaris dels sistemes d‘informació de la Universitat de València sota l'abast de l’ENS:

Qualsevol empleat públic de la Universitat de València.

Membres de comissions o òrgans relacionats amb la Universitat de València.

Personal de prestadors de serveis, entitats col·laboradores o qualsevol altre amb algun tipus de vinculació amb la Universitat de València quan utilitzeo tinga accés als seus sistemes d‘informació.

22Abril, 2016

A qui afecta el Reglament

• Classificació de la información:

Aclarir què difusió es pot donar a la informaciódipositada pels ciutadans a la Universitat.

• Normes de seguretat:

Com s'ha d'actuar en relació als sistemesd'informació utilitzats en el treball diari.

Són aplicables en funció del tipus de treballdesenvolupat i/o del nivell de responsabilitat.

23Abril, 2016

Aspectes rellevants

• No classificada: Informació de caràcter públic.

• Restringida: Informació d’ús intern i pot ser compartida entre el personal amb competència en el seu tractament. Pot ser catalogada com de difusió limitada si pot ser

compartida també amb tercers interessats com administrats o proveïdors vinculats amb algun tipus de contracte.

• Confidencial: Aquesta informació ha de ser únicament compartida entre personal que en virtut de les seues funcions haja de ser coneixedor de la mateixa.

24Abril, 2016

Categories de la informació

• Correspon al Comitè de Gestió i Coordinació de la Seguretatde la Informació la classificació de la informació contingudaen els sistemes d'informació de la Universitat.

• Com a principi general, la informació es classifica com restringida (d’ús intern).

• Els responsables de Servei (Unitats de gestió o Centres) poden reclassificar algun tipus d'informació o document amb motiu de l'acompliment de les funcions pròpies del servei, tenint en compte les directrius fixades pel Comitè de Gestió i Coordinació de la Seguretat de la Informació.

25Abril, 2016

Qui classifica la informació?

Classificacióper defecte

• Es defineix un conjunt de 39 normes sobre 8 aspectes (situacions) diferents.

• Les normes pretenen establir unes bonespràctiques en el nostre treball diari, que es poden estendre a altres sistemes d'informacióencara que no siguen els inclosos en l’ENS.

26Abril, 2016

Normes de seguretat

Article Aspecte

4 Controls d'accés físic i lògic

5 Ús, manteniment i destrucció de dispositius o suports que continguen informació protegida

6 Eixides i entrades de dades

7 Correu electrònic i xarxa corporativa

8 Recursos informàtics

9 Incidències de seguretat

10 Informació institucional i dades personals

11 Publicació en web

27Abril, 2016

Organització de les normes

DESCARREGAR

Reglament de seguretat de la informació en la utilització de mitjans electrònics de la Universitat de València, ACGUV 227/2014:

Pàgina web de la Secr. General de la UV

28Abril, 2016

Text del Reglament de seguretat

Servei d’Informàtica (Universitat de València)

Si tens algun dubte concret sobre la seguretat o el tractament de les dades, envia un correu electrònic a:

lopd@uv.es