La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Seguridad de la Información en la AEAT

Publicada porCarmen Sabino Modificado hace 10 años

Presentaciones similares

Presentación del tema: "Seguridad de la Información en la AEAT"— Transcripción de la presentación:

1 Seguridad de la Información en la AEAT
El control del uso de la información tributaria PORTADA Departamento de Informática Tributaria

2 Objetivos Exponer el control del uso de la información tributaria gestionada por los sistemas de información de la AEAT de acuerdo a los criterios emanados de la Comisión de Seguridad y Control de Informática Tributaria

3 Índice Sistema de Información Integrado de la AEAT
Seguridad de la Información en el ámbito de la AEAT El control del uso de la información tributaria en los sistemas de información de la AEAT

4 Sistema de Información Integrado de la AEAT
Modelo de datos  Base de Datos Centralizada El SII gestiona: Todos los impuestos Todos los contribuyentes Todos los procedimientos Esto permite: Control Análisis y Estadísticas Aprender y deducir Página de texto

5 Servicios que se ofrecen a través del SII
Servicios al ciudadano, colaboración social y administraciones publicas Servicios relacionados con la gestión tributaria Página de texto

6 Índice Sistema de Información Integrado de la AEAT
Seguridad de la Información en el ámbito de la AEAT El control del uso de la información tributaria en los sistemas de información de la AEAT

7 ¿Por qué es importante la Seguridad en la AEAT?
GENERAR CONFIANZA Para ello debe garantizar la... Seguridad jurídica de los servicios ofrecidos Página de texto Utilización de las TIC asegurando la disponibilidad, el acceso, la integridad, la autenticidad, la confidencialidad y la conservación de los datos, informaciones y servicios que gestionen en el ejercicio de sus competencias

8 Normativa estatal Art.18.4 de la Constitución Española
La Ley 30/1992, de 26 de noviembre, de Régimen jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común (LRJPAC) La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) El Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. El Real Decreto 263/1996, de 16 de febrero, por el que se regula la utilización de técnicas electrónicas, informáticas y telemáticas por la Administración General del Estado El Real Decreto 209/2003, de 21 de febrero, por el que se regulan los registros y las notificaciones telemáticas, así como la utilización de medios telemáticos para la sustitución de la aportación de certificados por parte del ciudadano La Ley 59/2003, de 19 de diciembre, de Firma Electrónica La Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos Página de texto

9 Normativa tributaria Ley General Tributaria
Real Decreto 1065/2007, de 27 de julio, por el que se aprueba el Reglamento General de las actuaciones y los procedimientos de gestión e inspección tributaria y de desarrollo de las normas comunes de los procedimientos de aplicación de los tributos Ley 1/1998 de 26 de febrero de Derechos y Garantías de los contribuyentes Ley 13/96 (limita los accesos) Orden HAC 1181/2003 por la que se establecen normas específicas en el uso de firma electrónica en las relaciones tributarias con la AEAT Resolución 24 de julio por la que se establece el procedimiento a seguir para la admisión de certificados usados en las relaciones tributarias de ámbito la AEAT Orden EHA 3256/2004 por la que se establecen los términos en los que podrán expedirse certificados electrónicos a las entidades sin personalidad jurídica a que se refiere el artículo 35.4 de la Ley General Tributaria Instrucción 5/2000, de 28 de julio, de la Dirección General de la Agencia Estatal de Administración Tributaria, sobre suministro de información tributaria a las administraciones públicas para el desarrollo de sus funciones, así como en los supuestos contemplados en las letras b), c) y d) del artículo de la Ley General Tributaria Página de texto

10 Otros mecanismos utilizados para generar confianza
Convenios de colaboración para la cesión de datos a las administraciones publicas Divulgación de los servicios electrónicos en los medios de comunicación Página de texto

11 Organización de la Seguridad en la AEAT
Comisión de Seguridad y Control de Informática Fija y mantiene actualizados de forma permanente los criterios y directrices generales sobre seguridad de la información en el ámbito de las Tecnologías de la Información y las Comunicaciones. Fija y mantiene actualizados de forma permanente los criterios y directrices de acceso a información tributario por parte de otros organismos o entidades ajenas a la Agencia Tributaria. Y en general cualquier otra función de carácter general que tenga relación con la seguridad informática. Administradores de Seguridad Personas especializadas en todos los temas que se comunican por la Comisión y son responsables de velar por su realización y cumplimiento. Departamento de Informática Tributaria Como responsable de todos los aspectos relacionados con las TIC es responsable entre otros (Orden PRE/3581/2007) de los procedimientos operativos de seguridad de los sistemas de información, estableciendo las medidas de seguridad física y lógica y los criterios de acceso a las redes de ordenadores, portátiles y otros dispositivos móviles. Dependencias Regionales de Informática  Área Regional de Seguridad Informática Áreas específicas responsables de los aspectos técnicos relacionados con la seguridad informática. Página de texto

12 Gestión de la Seguridad de la información en la AEAT
El SGSI (Sistema de Gestión de Seguridad de la Información) es el concepto central sobre el que se construye ISO (Information technology - Security techniques - Information security management systems – Requirements) y se basa en que la gestión de la seguridad de la información debe realizarse mediante un proceso sistemático, documentado y conocido por toda la organización. El Sistema de Gestión de la Seguridad de la Información (SGSI) ayuda a establecer estas políticas y procedimientos en relación a los objetivos de negocio de la organización, con objeto de mantener un nivel de exposición siempre menor al nivel de riesgo que la propia organización ha decidido asumir. Con un SGSI, la organización conoce los riesgos a los que está sometida su información y los asume, minimiza, transfiere o controla mediante una sistemática definida, documentada y conocida por todos, que se revisa y mejora constantemente. Otros estándares utilizados: ISO/IEC 27002:2005, Information technology - Security tecniques – Code of practice for information security management (anterior ISO/IEC 17799:2005) COBIT, Objetivos de control para tecnologías de la información y similares ITIL, mejores prácticas en la gestión de servicios TI e incluye opciones que pueden ser adoptadas y adaptadas según necesidades, circunstancias y experiencia de cada proveedor de servicios. Series CCN-STIC, del Centro Criptológico Nacional (perteneciente al Centro Nacional de Inteligencia) con normativa de seguridad de las TIC. Serie 800 del NIST, distintos principios y prácticas en seguridad comunes y de aplicación tanto en agencias gubernamentales como en corporaciones privadas. Página de texto

13 Gestión de la Seguridad de la información en la AEAT
Políticas de Seguridad Análisis de Riesgos Programa de Seguridad Detectar deficiencias Adoptar acciones correctivas y preventivas Recursos Implantar programa de seguridad Concienciación y Formación Seguimiento y Análisis del estado de seguridad Página de texto

14 Políticas de Seguridad de la Agencia Tributaria
Estratégico Táctico Página de texto Operativo

15 Políticas de Seguridad de la Agencia Tributaria
La Dirección de la Agencia Tributaria da soporte a toda la Gestión de Seguridad de la Información Objetivos y directrices de Seguridad de la Información con el apoyo de toda la organización: Director General, Comité de Dirección y Comisión de Seguridad y Control de Informática Tributaria. Página de texto

16 Políticas de Seguridad de la Agencia Tributaria
Instrucción nº 2/1996, de 1 de febrero , de la Dirección General de la Agencia Estatal de Administración Tributaria, sobre accesos a las bases de datos y utilización de la información contenida en las mismas en la Agencia Estatal de Administración Tributaria Instrucción nº 2/1997, de 11 de febrero , de la Dirección General de la Agencia Estatal de Administración Tributaria, sobre control de accesos a las bases de datos de la Agencia Instrucción nº 5 de 12 de septiembre de 2001, de la Dirección General de la Agencia Estatal de Administración Tributaria, por la que se implanta el documento de seguridad de los ficheros automatizados de carácter personal de la Agencia Tributaria Instrucción 4/2004 de 16 de abril de 2004, de la Dirección General de la Agencia Estatal de Administración Tributaria por la que se modifica el capítulo séptimo, ordenadores personales, del documento de seguridad de los ficheros automatizados de carácter personal de la Agencia Tributaria aprobado por la Instrucción 5/2001 de 12 de septiembre Página de texto Instrucción 2/2008 de la dirección general de la agencia tributaria, sobre la gestión y el control de soportes informáticos CDIT

17 Políticas de Seguridad de la Agencia Tributaria Documento de Seguridad
Es de obligado cumplimiento para todo el personal de la Agencia Los Directores y Delegados adoptaran las medidas necesarias para que sea conocido Estará a disposición de todo el personal La Comisión de Seguridad y control propondrá las medidas que considere necesarias para el desarrollo o adecuación del texto Ámbito Para todos los sistemas y ficheros Para todo el personal de la AEAT Para cualquier persona que acceda a la información Página de texto

18 Plan de Seguridad de la Agencia Tributaria
Las Políticas de Seguridad de la Información y su revisión, la estrategia de la organización, el análisis de riesgos y la monitorización del estado de seguridad son el motor de iniciativas que se concretan en proyectos para la implantación de nuevas medidas de seguridad lógicas, físicas y organizativas o la revisión de las ya implantadas. Este conjunto de iniciativas conforman el Plan de Seguridad de la Información de la Agencia Tributaria. Página de texto Seguridad organizativa Seguridad física Seguridad lógica

19 Medidas de Seguridad de la AEAT
Seguridad de los servicios Seguridad de los sistemas de información Seguridad del entorno de trabajo del empleado público Otros servicios de seguridad Página de texto Seguridad organizativa Seguridad física Seguridad lógica

20 Seguridad de los sistemas de información de la AEAT
Página de texto Visión lógica de la infraestructura de la AEAT

21 Índice Sistema de Información Integrado de la AEAT
Seguridad de la Información en el ámbito de la AEAT El control del uso de la información tributaria en los sistemas de información de la AEAT

22 La información es uno de los principales activos
¿Por qué es necesario el control del uso de la información tributaria gestionada por los sistemas de información de la AEAT? La información es uno de los principales activos de la Agencia Tributaria Legislación de protección de datos de carácter personal Página de texto

23 Normativa Tributaria Ley General Tributaria (artículo 95)
“1. Los datos, informes o antecedentes obtenidos por la Administración Tributaria en el desempeño de sus funciones tienen carácter reservado y sólo podrán ser utilizados para la efectiva aplicación de los tributos o recursos cuya gestión tenga encomendada y para la imposición de las sanciones que procedan, sin que pueden ser cedidos o comunicados a terceros, salvo que la cesión tenga por objeto: … 3. La Administración tributaria adoptará las medidas necesarias para garantizar la confidencialidad de la información tributaria y su uso adecuado. Cuantas autoridades y funcionarios tengan conocimientos de estos datos, informes o antecedentes estarán obligados al mas estricto y completo sigilo respecto de ellos,…” Ley 13/1996, de 30 de diciembre. Disposición adicional octava “El acceso a los datos, informes o antecedentes obtenidos por las Administraciones Tributarias y por parte de un funcionario público para fines distintos de las funciones que le son propias, se considerará siempre falta grave.…” Página de texto

24 ¿Cómo se consigue el control?
Limitando la información que se puede acceder Controlando los accesos realizados Página de texto

25 Limitando la información que se puede acceder
Autorizaciones Autorizaciones a empleados públicos de la AEAT Cada uno de los Departamentos definirá, en función de las tareas desarrolladas y la organización del trabajo, la relación de autorizaciones necesarias para el personal de ellos dependiente que dará lugar a perfiles de tipo general Estos perfiles serán abiertos, pudiéndose añadir o suprimir autorizaciones para un usuario concreto Comunicación de datos a otros organismos o entidades ajenas a la Agencia Tributaria Página de texto La Comisión de Seguridad y Control define los criterios de seguridad y las autorizaciones necesarias para el personal de estos organismos o entidades de acuerdo a los convenios firmados, la legislación tributaria y otra legislación como la de protección de datos de carácter personal. Los convenios de colaboración recogen cláusulas específicas relacionas con aspectos de seguridad y mecanismos de control.

26 Actores que intervienen
Control del uso de la información tributaria en los sistemas de información de la AEAT Actores que intervienen Recursos humanos  Punto de entrada de datos de usuario Autorizadores  Gestiona sus usuarios y asigna autorizaciones (Subdirector General, Jefes de Unidades Centrales, Jefes de Dependencia, Administradores, Administrador de Seguridad) Comisión de Seguridad y Control  Establece criterios Controladores  Encargados de realizar el control (auditoría) de los accesos realizados por los usuarios a la información de la Agencia Tributaria. Administrador de Usuario Único  Responsables de la Administración y gestión de la herramienta de Gestión de Usuarios. Administrador de Seguridad  Garantiza que se aplican las directrices establecidas para la gestión de usuarios. Página de texto

27 Control de acceso en la AEAT
Mecanismos de seguridad para el control del uso de la información tributaria en los sistemas de información de la AEAT F : El concepto de control de acceso hace referencia a todo el proceso que abarca la gestión de usuarios, y la identificación y autenticación, gestión de las autorizaciones, el registro de accesos y su análisis. Identificación Autorización Autenticación Rastros Auditoría posterior de los mismos Control de acceso en la AEAT Identidad única: Gestión de usuarios  Herramienta de Usuario Único Autorizaciones: Puntos de control y Gestión autorizaciones  Herramienta de Usuario Único Identificación y Autenticación: Usuario único y contraseña Validados por RACF (Entorno HOST), Directorio Activo (Entorno no HOST) Para acceder a las aplicaciones ofrecidas en el portal de la Intranet también se utiliza el certificado electrónico de la INTRANET de la AEAT del usuario. Rastros: Instrucción 2/97 y Documento de Seguridad y cada aplicación debe dejar los rastros de acceso a las Bases de Datos de la AEAT Auditoría posterior de los mismos: Herramienta Controla Página de texto

28 Control del uso de la información tributaria
Infraestructura de gestión de usuarios, autorizaciones y la identificación y autenticación de los usuarios Página de texto

29 Control del uso de la información tributaria
Funcionalidades de la herramienta de Gestión de Usuarios Página de texto

30 Gestión de usuarios y autorizaciones
Entrada de un nuevo empleado en la Agencia Tributaria Página de texto

31 Gestión de usuarios y autorizaciones
Alta de usuario en la herramienta de gestión de usuarios Página de texto

32 Gestión de usuarios y autorizaciones
Gestión de autorizaciones de un usuario Página de texto

33 Gestión de usuarios y autorizaciones
Baja de un usuario en la herramienta de gestión de usuarios Página de texto

34 Identificación y autenticación
Sincronización entre entornos de usuarios Página de texto

35 Identificación y autenticación Sincronización de contraseñas
Página de texto

36 Identificación y autenticación
Identificación y autenticación de aplicaciones de la Intranet Página de texto

37 Control de los accesos realizados
Herramienta controla Deberán ser objeto de control todos los accesos que se produzcan a las bases de datos de la AEAT, excepto a las aplicaciones de tipo estadístico que no contengan datos de carácter personal Cada aplicación incorpora una rutina que registra todos los accesos a datos personales Página de texto

38 Control de los accesos realizados ¿Qué datos se registran?
En cuanto al usuario: Código de usuario que accede, con indicación de los apellidos y nombre del mismo En cuanto al acceso: Fecha, hora y minuto del acceso Apellidos y nombre o razón social y NIF de la persona a la que se refiera la consulta Dato visualizado Si se trata de una relación de contribuyentes, deberá registrarse un acceso por cada uno de los contribuyentes visualizados El tipo de operación realizada Justificación Página de texto

39 Control de los accesos realizados Periodicidad del control
El control de accesos se efectuará, con carácter general, quincenalmente Página de texto

40 Control de los accesos realizados Características del control
Aplicación informática que, procede a seleccionar los accesos a las bases de datos que deberán ser objeto de justificación expresa teniendo en cuenta si los accesos son coherentes con el trabajo del usuario Página de texto La aplicación informática registrará la ejecución de la auditoría de los accesos

41 Control de los accesos realizados
¿Qué accesos selecciona la herramienta Controla? Sólo un porcentaje de los realizados Son seleccionados automáticamente por la aplicación Controla Se seleccionan los mas “sospechosos”en función de unos filtros definidos por la Comisión de Seguridad Relaciones económicas o familiares Página de texto

42 Control de los accesos realizados Justificación de los accesos
Los usuarios deberán justificar los accesos por escrito dentro de los 15 días siguientes a la recepción de la comunicación en que se pide la justificación del acceso. Cualquier resistencia, negativa u obstrucción por parte del usuario a la justificación de los accesos, así como cualquier otra anomalía, se comunicará de forma inmediata al Administrador de Seguridad Página de texto

43 CONTRAPORTADA

Descargar ppt "Seguridad de la Información en la AEAT"

Presentaciones similares

REQUISITOS GENERALES PARA LA COMPETENCIA DE LOS LABORATORIOS DE ENSAYO Y DE CALIBRACION NTG ISO/IEC 17025:2005 CURSO AUDITORES INTERNOS RELABSA UVG MAYO.

REQUISITOS GENERALES PARA LA COMPETENCIA DE LOS LABORATORIOS DE ENSAYO Y DE CALIBRACION NTG ISO/IEC 17025:2005 CURSO AUDITORES INTERNOS RELABSA UVG MAYO.
Auditoría General del Poder Ejecutivo Presidencia de la República

Auditoría General del Poder Ejecutivo Presidencia de la República
XI Reunión de Responsables de Sistemas de Información

XI Reunión de Responsables de Sistemas de Información
SEGURIDAD CORPORATIVA

SEGURIDAD CORPORATIVA
Curso de Técnicas de Auditoría - Quito 13-24 de octubre de 2008 SISTEMAS DE INFORMACION Es un Sistema Integrado de los diferentes procedimientos gestores.

Curso de Técnicas de Auditoría - Quito de octubre de 2008 SISTEMAS DE INFORMACION Es un Sistema Integrado de los diferentes procedimientos gestores.
Agencia Tributaria www.agenciatributaria.es Cesión de información a las Administraciones Públicas por correo seguro - Internet Departamento de Organización,

Agencia Tributaria Cesión de información a las Administraciones Públicas por correo seguro - Internet Departamento de Organización,
LA PROTECCIÓN DE DATOS PERSONALES EN LA ADMINISTRACIÓN PÚBLICA

LA PROTECCIÓN DE DATOS PERSONALES EN LA ADMINISTRACIÓN PÚBLICA
Plan de Seguridad del Operador

Plan de Seguridad del Operador
Vitoria-Gasteiz, 23 de marzo de 2010

Vitoria-Gasteiz, 23 de marzo de 2010
Las ETT ( Empresas de Trabajo Temporal)

Las ETT ( Empresas de Trabajo Temporal)
Nombre: Claudia Grandi Bustillos

Nombre: Claudia Grandi Bustillos
Asesorías Jurídicas de los Departamentos del Gobierno Vasco

Asesorías Jurídicas de los Departamentos del Gobierno Vasco
PROTECCION DE DATOS DE CARÁCTER PERSONAL

PROTECCION DE DATOS DE CARÁCTER PERSONAL
CONTRATACIÓN ELECTRÓNICA EN LAS COMUNIDADES AUTÓNOMAS: LA EXPERIENCIA DE CATALUÑA Xavier Padrós Donostia, 12 de abril de 2005.

CONTRATACIÓN ELECTRÓNICA EN LAS COMUNIDADES AUTÓNOMAS: LA EXPERIENCIA DE CATALUÑA Xavier Padrós Donostia, 12 de abril de 2005.
TEMA 7 SESIÓN I 1. OBJETIVO DEL TEMA 7 Proporcionar el conocimiento y las orientaciones económicas para una buena gestión de la seguridad del establecimiento.

TEMA 7 SESIÓN I 1. OBJETIVO DEL TEMA 7 Proporcionar el conocimiento y las orientaciones económicas para una buena gestión de la seguridad del establecimiento.
DOCUMENTOS DE ARCHIVO EN LA ADMINISTRACIÓN ELECTRÓNICA: necesidad de un modelo de gestión integrada

DOCUMENTOS DE ARCHIVO EN LA ADMINISTRACIÓN ELECTRÓNICA: necesidad de un modelo de gestión integrada
SEGURIDAD DE LA INFORMACIÓN EN LA SINDICATURA DE COMPTES DE LA COMUNITAT VALENCIANA Alejandro Salom Campos Unidad de Auditoría de Sistemas de Información.

SEGURIDAD DE LA INFORMACIÓN EN LA SINDICATURA DE COMPTES DE LA COMUNITAT VALENCIANA Alejandro Salom Campos Unidad de Auditoría de Sistemas de Información.
Administración Electrónica en el Servicio de Gestión Tributaria de Huelva Alba de Tormes, 3 de noviembre de 2010.

Administración Electrónica en el Servicio de Gestión Tributaria de Huelva Alba de Tormes, 3 de noviembre de 2010.
Convenio para realizar la

Convenio para realizar la
Normas de Control Interno para Tecnología de la Información Res

Normas de Control Interno para Tecnología de la Información Res

Presentaciones similares

Anuncios Google