La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Departamento/ Servicio de …,Delegación Especial /Delegación de…, Administración de... Departamento de Informática Tributaria Seguridad de la Información.

Presentaciones similares


Presentación del tema: "Departamento/ Servicio de …,Delegación Especial /Delegación de…, Administración de... Departamento de Informática Tributaria Seguridad de la Información."— Transcripción de la presentación:

1 Departamento/ Servicio de …,Delegación Especial /Delegación de…, Administración de... Departamento de Informática Tributaria Seguridad de la Información en la AEAT El control del uso de la información tributaria Seguridad de la Información en la AEAT El control del uso de la información tributaria

2 Departamento/ Servicio de …,Delegación Especial /Delegación de…, Administración de... Objetivos Exponer el control del uso de la información tributaria gestionada por los sistemas de información de la AEAT de acuerdo a los criterios emanados de la Comisión de Seguridad y Control de Informática Tributaria

3 Departamento/ Servicio de …,Delegación Especial /Delegación de…, Administración de... Índice Sistema de Información Integrado de la AEAT Seguridad de la Información en el ámbito de la AEAT El control del uso de la información tributaria en los sistemas de información de la AEAT

4 Departamento/ Servicio de …,Delegación Especial /Delegación de…, Administración de... Sistema de Información Integrado de la AEAT Modelo de datos Base de Datos Centralizada El SII gestiona: Todos los impuestos Todos los contribuyentes Todos los procedimientos Esto permite: Control Análisis y Estadísticas Aprender y deducir

5 Departamento/ Servicio de …,Delegación Especial /Delegación de…, Administración de... Servicios que se ofrecen a través del SII Servicios relacionados con la gestión tributaria Servicios al ciudadano, colaboración social y administraciones publicas

6 Departamento/ Servicio de …,Delegación Especial /Delegación de…, Administración de... Índice Sistema de Información Integrado de la AEAT Seguridad de la Información en el ámbito de la AEAT El control del uso de la información tributaria en los sistemas de información de la AEAT

7 Departamento/ Servicio de …,Delegación Especial /Delegación de…, Administración de... ¿Por qué es importante la Seguridad en la AEAT? Seguridad jurídica de los servicios ofrecidos Utilización de las TIC asegurando la disponibilidad, el acceso, la integridad, la autenticidad, la confidencialidad y la conservación de los datos, informaciones y servicios que gestionen en el ejercicio de sus competencias GENERAR CONFIANZA Para ello debe garantizar la...

8 Departamento/ Servicio de …,Delegación Especial /Delegación de…, Administración de... Normativa estatal Art.18.4 de la Constitución Española La Ley 30/1992, de 26 de noviembre, de Régimen jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común (LRJPAC) La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) El Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. El Real Decreto 263/1996, de 16 de febrero, por el que se regula la utilización de técnicas electrónicas, informáticas y telemáticas por la Administración General del Estado El Real Decreto 209/2003, de 21 de febrero, por el que se regulan los registros y las notificaciones telemáticas, así como la utilización de medios telemáticos para la sustitución de la aportación de certificados por parte del ciudadano La Ley 59/2003, de 19 de diciembre, de Firma Electrónica La Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos

9 Departamento/ Servicio de …,Delegación Especial /Delegación de…, Administración de... Normativa tributaria Ley General Tributaria Real Decreto 1065/2007, de 27 de julio, por el que se aprueba el Reglamento General de las actuaciones y los procedimientos de gestión e inspección tributaria y de desarrollo de las normas comunes de los procedimientos de aplicación de los tributos Ley 1/1998 de 26 de febrero de Derechos y Garantías de los contribuyentes Ley 13/96 (limita los accesos) Orden HAC 1181/2003 por la que se establecen normas específicas en el uso de firma electrónica en las relaciones tributarias con la AEAT Resolución 24 de julio por la que se establece el procedimiento a seguir para la admisión de certificados usados en las relaciones tributarias de ámbito la AEAT Orden EHA 3256/2004 por la que se establecen los términos en los que podrán expedirse certificados electrónicos a las entidades sin personalidad jurídica a que se refiere el artículo 35.4 de la Ley General Tributaria Instrucción 5/2000, de 28 de julio, de la Dirección General de la Agencia Estatal de Administración Tributaria, sobre suministro de información tributaria a las administraciones públicas para el desarrollo de sus funciones, así como en los supuestos contemplados en las letras b), c) y d) del artículo de la Ley General Tributaria

10 Departamento/ Servicio de …,Delegación Especial /Delegación de…, Administración de... Otros mecanismos utilizados para generar confianza Divulgación de los servicios electrónicos en los medios de comunicación Convenios de colaboración para la cesión de datos a las administraciones publicas

11 Departamento/ Servicio de …,Delegación Especial /Delegación de…, Administración de... Organización de la Seguridad en la AEAT Comisión de Seguridad y Control de Informática Fija y mantiene actualizados de forma permanente los criterios y directrices generales sobre seguridad de la información en el ámbito de las Tecnologías de la Información y las Comunicaciones. Fija y mantiene actualizados de forma permanente los criterios y directrices de acceso a información tributario por parte de otros organismos o entidades ajenas a la Agencia Tributaria. Y en general cualquier otra función de carácter general que tenga relación con la seguridad informática. Administradores de Seguridad Personas especializadas en todos los temas que se comunican por la Comisión y son responsables de velar por su realización y cumplimiento. Departamento de Informática Tributaria Como responsable de todos los aspectos relacionados con las TIC es responsable entre otros (Orden PRE/3581/2007) de los procedimientos operativos de seguridad de los sistemas de información, estableciendo las medidas de seguridad física y lógica y los criterios de acceso a las redes de ordenadores, portátiles y otros dispositivos móviles. Dependencias Regionales de Informática Área Regional de Seguridad Informática Áreas específicas responsables de los aspectos técnicos relacionados con la seguridad informática.

12 Departamento/ Servicio de …,Delegación Especial /Delegación de…, Administración de... Gestión de la Seguridad de la información en la AEAT El SGSI (Sistema de Gestión de Seguridad de la Información) es el concepto central sobre el que se construye ISO (Information technology - Security techniques - Information security management systems – Requirements) y se basa en que la gestión de la seguridad de la información debe realizarse mediante un proceso sistemático, documentado y conocido por toda la organización. El Sistema de Gestión de la Seguridad de la Información (SGSI) ayuda a establecer estas políticas y procedimientos en relación a los objetivos de negocio de la organización, con objeto de mantener un nivel de exposición siempre menor al nivel de riesgo que la propia organización ha decidido asumir. Con un SGSI, la organización conoce los riesgos a los que está sometida su información y los asume, minimiza, transfiere o controla mediante una sistemática definida, documentada y conocida por todos, que se revisa y mejora constantemente. Otros estándares utilizados: ISO/IEC 27002:2005, Information technology - Security tecniques – Code of practice for information security management (anterior ISO/IEC 17799:2005) COBIT, Objetivos de control para tecnologías de la información y similares ITIL, mejores prácticas en la gestión de servicios TI e incluye opciones que pueden ser adoptadas y adaptadas según necesidades, circunstancias y experiencia de cada proveedor de servicios. Series CCN-STIC, del Centro Criptológico Nacional (perteneciente al Centro Nacional de Inteligencia) con normativa de seguridad de las TIC. Serie 800 del NIST, distintos principios y prácticas en seguridad comunes y de aplicación tanto en agencias gubernamentales como en corporaciones privadas.

13 Departamento/ Servicio de …,Delegación Especial /Delegación de…, Administración de... Gestión de la Seguridad de la información en la AEAT Políticas de Seguridad Análisis de Riesgos Programa de Seguridad Implantar programa de seguridad Concienciación y Formación Recursos Seguimiento y Análisis del estado de seguridad Detectar deficiencias Adoptar acciones correctivas y preventivas

14 Departamento/ Servicio de …,Delegación Especial /Delegación de…, Administración de... Políticas de Seguridad de la Agencia Tributaria Estratégico Táctico Operativo

15 Departamento/ Servicio de …,Delegación Especial /Delegación de…, Administración de... Políticas de Seguridad de la Agencia Tributaria Objetivos y directrices de Seguridad de la Información con el apoyo de toda la organización: Director General, Comité de Dirección y Comisión de Seguridad y Control de Informática Tributaria. La Dirección de la Agencia Tributaria da soporte a toda la Gestión de Seguridad de la Información

16 Departamento/ Servicio de …,Delegación Especial /Delegación de…, Administración de... Políticas de Seguridad de la Agencia Tributaria Instrucci ó n n º 2/1997, de 11 de febrero, de la Direcci ó n General de la Agencia Estatal de Administraci ó n Tributaria, sobre control de accesos a las bases de datos de la Agencia Instrucci ó n n º 5 de 12 de septiembre de 2001, de la Direcci ó n General de la Agencia Estatal de Administraci ó n Tributaria, por la que se implanta el documento de seguridad de los ficheros automatizados de car á cter personal de la Agencia Tributaria Instrucci ó n 4/2004 de 16 de abril de 2004, de la Direcci ó n General de la Agencia Estatal de Administraci ó n Tributaria por la que se modifica el cap í tulo s é ptimo, ordenadores personales, del documento de seguridad de los ficheros automatizados de car á cter personal de la Agencia Tributaria aprobado por la Instrucci ó n 5/2001 de 12 de septiembre CDIT Instrucci ó n n º 2/1996, de 1 de febrero, de la Direcci ó n General de la Agencia Estatal de Administraci ó n Tributaria, sobre accesos a las bases de datos y utilizaci ó n de la informaci ó n contenida en las mismas en la Agencia Estatal de Administraci ó n Tributaria Instrucci ó n 2/2008 de la direcci ó n general de la agencia tributaria, sobre la gesti ó n y el control de soportes inform á ticos

17 Departamento/ Servicio de …,Delegación Especial /Delegación de…, Administración de... Documento de Seguridad Es de obligado cumplimiento para todo el personal de la Agencia Los Directores y Delegados adoptaran las medidas necesarias para que sea conocido Estará a disposición de todo el personal La Comisión de Seguridad y control propondrá las medidas que considere necesarias para el desarrollo o adecuación del texto Para todos los sistemas y ficheros Para todo el personal de la AEAT Para cualquier persona que acceda a la información Ámbito Políticas de Seguridad de la Agencia Tributaria

18 Departamento/ Servicio de …,Delegación Especial /Delegación de…, Administración de... Plan de Seguridad de la Agencia Tributaria Seguridad organizativa Seguridad física Seguridad lógica Las Políticas de Seguridad de la Información y su revisión, la estrategia de la organización, el análisis de riesgos y la monitorización del estado de seguridad son el motor de iniciativas que se concretan en proyectos para la implantación de nuevas medidas de seguridad lógicas, físicas y organizativas o la revisión de las ya implantadas. Este conjunto de iniciativas conforman el Plan de Seguridad de la Información de la Agencia Tributaria.

19 Departamento/ Servicio de …,Delegación Especial /Delegación de…, Administración de... Medidas de Seguridad de la AEAT Seguridad organizativa Seguridad física Seguridad lógica Seguridad de los servicios Seguridad de los sistemas de información Seguridad del entorno de trabajo del empleado público Otros servicios de seguridad

20 Departamento/ Servicio de …,Delegación Especial /Delegación de…, Administración de... Seguridad de los sistemas de información de la AEAT Visión lógica de la infraestructura de la AEAT

21 Departamento/ Servicio de …,Delegación Especial /Delegación de…, Administración de... Índice Sistema de Información Integrado de la AEAT Seguridad de la Información en el ámbito de la AEAT El control del uso de la información tributaria en los sistemas de información de la AEAT

22 Departamento/ Servicio de …,Delegación Especial /Delegación de…, Administración de... ¿Por qué es necesario el control del uso de la información tributaria gestionada por los sistemas de información de la AEAT? La información es uno de los principales activos de la Agencia Tributaria Legislación de protección de datos de carácter personal

23 Departamento/ Servicio de …,Delegación Especial /Delegación de…, Administración de... Normativa Tributaria Ley General Tributaria (artículo 95) 1. Los datos, informes o antecedentes obtenidos por la Administración Tributaria en el desempeño de sus funciones tienen carácter reservado y sólo podrán ser utilizados para la efectiva aplicación de los tributos o recursos cuya gestión tenga encomendada y para la imposición de las sanciones que procedan, sin que pueden ser cedidos o comunicados a terceros, salvo que la cesión tenga por objeto: … 3. La Administración tributaria adoptará las medidas necesarias para garantizar la confidencialidad de la información tributaria y su uso adecuado. Cuantas autoridades y funcionarios tengan conocimientos de estos datos, informes o antecedentes estarán obligados al mas estricto y completo sigilo respecto de ellos,… Ley 13/1996, de 30 de diciembre. Disposición adicional octava El acceso a los datos, informes o antecedentes obtenidos por las Administraciones Tributarias y por parte de un funcionario público para fines distintos de las funciones que le son propias, se considerará siempre falta grave.…

24 Departamento/ Servicio de …,Delegación Especial /Delegación de…, Administración de... ¿Cómo se consigue el control? Limitando la información que se puede acceder Controlando los accesos realizados

25 Departamento/ Servicio de …,Delegación Especial /Delegación de…, Administración de... Limitando la información que se puede acceder Autorizaciones Cada uno de los Departamentos definirá, en función de las tareas desarrolladas y la organización del trabajo, la relación de autorizaciones necesarias para el personal de ellos dependiente que dará lugar a perfiles de tipo general Estos perfiles serán abiertos, pudiéndose añadir o suprimir autorizaciones para un usuario concreto La Comisión de Seguridad y Control define los criterios de seguridad y las autorizaciones necesarias para el personal de estos organismos o entidades de acuerdo a los convenios firmados, la legislación tributaria y otra legislación como la de protección de datos de carácter personal. Los convenios de colaboración recogen cláusulas específicas relacionas con aspectos de seguridad y mecanismos de control. Comunicación de datos a otros organismos o entidades ajenas a la Agencia Tributaria Autorizaciones a empleados públicos de la AEAT

26 Departamento/ Servicio de …,Delegación Especial /Delegación de…, Administración de... Control del uso de la información tributaria en los sistemas de información de la AEAT Actores que intervienen Recursos humanos Punto de entrada de datos de usuario Autorizadores Gestiona sus usuarios y asigna autorizaciones (Subdirector General, Jefes de Unidades Centrales, Jefes de Dependencia, Administradores, Administrador de Seguridad) Comisión de Seguridad y Control Establece criterios Controladores Encargados de realizar el control (auditoría) de los accesos realizados por los usuarios a la información de la Agencia Tributaria. Administrador de Usuario Único Responsables de la Administración y gestión de la herramienta de Gestión de Usuarios. Administrador de Seguridad Garantiza que se aplican las directrices establecidas para la gestión de usuarios.

27 Departamento/ Servicio de …,Delegación Especial /Delegación de…, Administración de... Mecanismos de seguridad para el control del uso de la información tributaria en los sistemas de información de la AEAT Identificación Autorización Autenticación Rastros Auditoría posterior de los mismos Identidad única: Gestión de usuarios Herramienta de Usuario Único Autorizaciones: Puntos de control y Gestión autorizaciones Herramienta de Usuario Único Identificación y Autenticación: Usuario único y contraseña Validados por RACF (Entorno HOST), Directorio Activo (Entorno no HOST) Para acceder a las aplicaciones ofrecidas en el portal de la Intranet también se utiliza el certificado electrónico de la INTRANET de la AEAT del usuario. Rastros: Instrucción 2/97 y Documento de Seguridad y cada aplicación debe dejar los rastros de acceso a las Bases de Datos de la AEAT Auditoría posterior de los mismos: Herramienta Controla Control de acceso en la AEAT F : El concepto de control de acceso hace referencia a todo el proceso que abarca la gestión de usuarios, y la identificación y autenticación, gestión de las autorizaciones, el registro de accesos y su análisis. F : El concepto de control de acceso hace referencia a todo el proceso que abarca la gestión de usuarios, y la identificación y autenticación, gestión de las autorizaciones, el registro de accesos y su análisis.

28 Departamento/ Servicio de …,Delegación Especial /Delegación de…, Administración de... Control del uso de la información tributaria Infraestructura de gestión de usuarios, autorizaciones y la identificación y autenticación de los usuarios

29 Departamento/ Servicio de …,Delegación Especial /Delegación de…, Administración de... Control del uso de la información tributaria Funcionalidades de la herramienta de Gestión de Usuarios

30 Departamento/ Servicio de …,Delegación Especial /Delegación de…, Administración de... Gestión de usuarios y autorizaciones Entrada de un nuevo empleado en la Agencia Tributaria

31 Departamento/ Servicio de …,Delegación Especial /Delegación de…, Administración de... Gestión de usuarios y autorizaciones Alta de usuario en la herramienta de gestión de usuarios

32 Departamento/ Servicio de …,Delegación Especial /Delegación de…, Administración de... Gestión de usuarios y autorizaciones Gestión de autorizaciones de un usuario

33 Departamento/ Servicio de …,Delegación Especial /Delegación de…, Administración de... Gestión de usuarios y autorizaciones Baja de un usuario en la herramienta de gestión de usuarios

34 Departamento/ Servicio de …,Delegación Especial /Delegación de…, Administración de... Identificación y autenticación Sincronización entre entornos de usuarios

35 Departamento/ Servicio de …,Delegación Especial /Delegación de…, Administración de... Identificación y autenticación Sincronización de contraseñas

36 Departamento/ Servicio de …,Delegación Especial /Delegación de…, Administración de... Identificación y autenticación Identificación y autenticación de aplicaciones de la Intranet

37 Departamento/ Servicio de …,Delegación Especial /Delegación de…, Administración de... Control de los accesos realizados Herramienta controla Deberán ser objeto de control todos los accesos que se produzcan a las bases de datos de la AEAT, excepto a las aplicaciones de tipo estadístico que no contengan datos de carácter personal Cada aplicación incorpora una rutina que registra todos los accesos a datos personales

38 Departamento/ Servicio de …,Delegación Especial /Delegación de…, Administración de... Control de los accesos realizados ¿Qué datos se registran? En cuanto al usuario: Código de usuario que accede, con indicación de los apellidos y nombre del mismo En cuanto al acceso: Fecha, hora y minuto del acceso Apellidos y nombre o razón social y NIF de la persona a la que se refiera la consulta Dato visualizado Si se trata de una relación de contribuyentes, deberá registrarse un acceso por cada uno de los contribuyentes visualizados El tipo de operación realizada Justificación

39 Departamento/ Servicio de …,Delegación Especial /Delegación de…, Administración de... El control de accesos se efectuará, con carácter general, quincenalmente Control de los accesos realizados Periodicidad del control

40 Departamento/ Servicio de …,Delegación Especial /Delegación de…, Administración de... Aplicación informática que, procede a seleccionar los accesos a las bases de datos que deberán ser objeto de justificación expresa teniendo en cuenta si los accesos son coherentes con el trabajo del usuario La aplicación informática registrará la ejecución de la auditoría de los accesos Control de los accesos realizados Características del control

41 Departamento/ Servicio de …,Delegación Especial /Delegación de…, Administración de... Sólo un porcentaje de los realizados Son seleccionados automáticamente por la aplicación Controla Se seleccionan los mas sospechososen función de unos filtros definidos por la Comisión de Seguridad Relaciones económicas o familiares Control de los accesos realizados ¿Qué accesos selecciona la herramienta Controla?

42 Departamento/ Servicio de …,Delegación Especial /Delegación de…, Administración de... Los usuarios deberán justificar los accesos por escrito dentro de los 15 días siguientes a la recepción de la comunicación en que se pide la justificación del acceso. Cualquier resistencia, negativa u obstrucción por parte del usuario a la justificación de los accesos, así como cualquier otra anomalía, se comunicará de forma inmediata al Administrador de Seguridad Control de los accesos realizados Justificación de los accesos

43 Departamento/ Servicio de …,Delegación Especial /Delegación de…, Administración de...


Descargar ppt "Departamento/ Servicio de …,Delegación Especial /Delegación de…, Administración de... Departamento de Informática Tributaria Seguridad de la Información."

Presentaciones similares


Anuncios Google