Seguridad de la Información en la AEAT El control del uso de la información tributaria PORTADA Departamento de Informática Tributaria

Objetivos Exponer el control del uso de la información tributaria gestionada por los sistemas de información de la AEAT de acuerdo a los criterios emanados de la Comisión de Seguridad y Control de Informática Tributaria

Índice Sistema de Información Integrado de la AEAT Seguridad de la Información en el ámbito de la AEAT El control del uso de la información tributaria en los sistemas de información de la AEAT

Sistema de Información Integrado de la AEAT Modelo de datos  Base de Datos Centralizada El SII gestiona: Todos los impuestos Todos los contribuyentes Todos los procedimientos Esto permite: Control Análisis y Estadísticas Aprender y deducir Página de texto

Servicios que se ofrecen a través del SII Servicios al ciudadano, colaboración social y administraciones publicas Servicios relacionados con la gestión tributaria Página de texto

Índice Sistema de Información Integrado de la AEAT Seguridad de la Información en el ámbito de la AEAT El control del uso de la información tributaria en los sistemas de información de la AEAT

¿Por qué es importante la Seguridad en la AEAT? GENERAR CONFIANZA Para ello debe garantizar la... Seguridad jurídica de los servicios ofrecidos Página de texto Utilización de las TIC asegurando la disponibilidad, el acceso, la integridad, la autenticidad, la confidencialidad y la conservación de los datos, informaciones y servicios que gestionen en el ejercicio de sus competencias

Normativa estatal Art.18.4 de la Constitución Española La Ley 30/1992, de 26 de noviembre, de Régimen jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común (LRJPAC) La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) El Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. El Real Decreto 263/1996, de 16 de febrero, por el que se regula la utilización de técnicas electrónicas, informáticas y telemáticas por la Administración General del Estado El Real Decreto 209/2003, de 21 de febrero, por el que se regulan los registros y las notificaciones telemáticas, así como la utilización de medios telemáticos para la sustitución de la aportación de certificados por parte del ciudadano La Ley 59/2003, de 19 de diciembre, de Firma Electrónica La Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos Página de texto

Normativa tributaria Ley General Tributaria Real Decreto 1065/2007, de 27 de julio, por el que se aprueba el Reglamento General de las actuaciones y los procedimientos de gestión e inspección tributaria y de desarrollo de las normas comunes de los procedimientos de aplicación de los tributos Ley 1/1998 de 26 de febrero de Derechos y Garantías de los contribuyentes Ley 13/96 (limita los accesos) Orden HAC 1181/2003 por la que se establecen normas específicas en el uso de firma electrónica en las relaciones tributarias con la AEAT Resolución 24 de julio por la que se establece el procedimiento a seguir para la admisión de certificados usados en las relaciones tributarias de ámbito la AEAT Orden EHA 3256/2004 por la que se establecen los términos en los que podrán expedirse certificados electrónicos a las entidades sin personalidad jurídica a que se refiere el artículo 35.4 de la Ley General Tributaria Instrucción 5/2000, de 28 de julio, de la Dirección General de la Agencia Estatal de Administración Tributaria, sobre suministro de información tributaria a las administraciones públicas para el desarrollo de sus funciones, así como en los supuestos contemplados en las letras b), c) y d) del artículo 113.1 de la Ley General Tributaria Página de texto

Otros mecanismos utilizados para generar confianza Convenios de colaboración para la cesión de datos a las administraciones publicas Divulgación de los servicios electrónicos en los medios de comunicación Página de texto

Organización de la Seguridad en la AEAT Comisión de Seguridad y Control de Informática Fija y mantiene actualizados de forma permanente los criterios y directrices generales sobre seguridad de la información en el ámbito de las Tecnologías de la Información y las Comunicaciones. Fija y mantiene actualizados de forma permanente los criterios y directrices de acceso a información tributario por parte de otros organismos o entidades ajenas a la Agencia Tributaria. Y en general cualquier otra función de carácter general que tenga relación con la seguridad informática. Administradores de Seguridad Personas especializadas en todos los temas que se comunican por la Comisión y son responsables de velar por su realización y cumplimiento. Departamento de Informática Tributaria Como responsable de todos los aspectos relacionados con las TIC es responsable entre otros (Orden PRE/3581/2007) de los procedimientos operativos de seguridad de los sistemas de información, estableciendo las medidas de seguridad física y lógica y los criterios de acceso a las redes de ordenadores, portátiles y otros dispositivos móviles. Dependencias Regionales de Informática  Área Regional de Seguridad Informática Áreas específicas responsables de los aspectos técnicos relacionados con la seguridad informática. Página de texto

Gestión de la Seguridad de la información en la AEAT El SGSI (Sistema de Gestión de Seguridad de la Información) es el concepto central sobre el que se construye ISO 27001 (Information technology - Security techniques - Information security management systems – Requirements) y se basa en que la gestión de la seguridad de la información debe realizarse mediante un proceso sistemático, documentado y conocido por toda la organización. El Sistema de Gestión de la Seguridad de la Información (SGSI) ayuda a establecer estas políticas y procedimientos en relación a los objetivos de negocio de la organización, con objeto de mantener un nivel de exposición siempre menor al nivel de riesgo que la propia organización ha decidido asumir. Con un SGSI, la organización conoce los riesgos a los que está sometida su información y los asume, minimiza, transfiere o controla mediante una sistemática definida, documentada y conocida por todos, que se revisa y mejora constantemente. Otros estándares utilizados: ISO/IEC 27002:2005, Information technology - Security tecniques – Code of practice for information security management (anterior ISO/IEC 17799:2005) COBIT, Objetivos de control para tecnologías de la información y similares ITIL, mejores prácticas en la gestión de servicios TI e incluye opciones que pueden ser adoptadas y adaptadas según necesidades, circunstancias y experiencia de cada proveedor de servicios. Series CCN-STIC, del Centro Criptológico Nacional (perteneciente al Centro Nacional de Inteligencia) con normativa de seguridad de las TIC. Serie 800 del NIST, distintos principios y prácticas en seguridad comunes y de aplicación tanto en agencias gubernamentales como en corporaciones privadas. Página de texto

Gestión de la Seguridad de la información en la AEAT Políticas de Seguridad Análisis de Riesgos Programa de Seguridad Detectar deficiencias Adoptar acciones correctivas y preventivas Recursos Implantar programa de seguridad Concienciación y Formación Seguimiento y Análisis del estado de seguridad Página de texto

Políticas de Seguridad de la Agencia Tributaria Estratégico Táctico Página de texto Operativo

Políticas de Seguridad de la Agencia Tributaria La Dirección de la Agencia Tributaria da soporte a toda la Gestión de Seguridad de la Información Objetivos y directrices de Seguridad de la Información con el apoyo de toda la organización: Director General, Comité de Dirección y Comisión de Seguridad y Control de Informática Tributaria. Página de texto

Políticas de Seguridad de la Agencia Tributaria Instrucción nº 2/1996, de 1 de febrero , de la Dirección General de la Agencia Estatal de Administración Tributaria, sobre accesos a las bases de datos y utilización de la información contenida en las mismas en la Agencia Estatal de Administración Tributaria Instrucción nº 2/1997, de 11 de febrero , de la Dirección General de la Agencia Estatal de Administración Tributaria, sobre control de accesos a las bases de datos de la Agencia Instrucción nº 5 de 12 de septiembre de 2001, de la Dirección General de la Agencia Estatal de Administración Tributaria, por la que se implanta el documento de seguridad de los ficheros automatizados de carácter personal de la Agencia Tributaria Instrucción 4/2004 de 16 de abril de 2004, de la Dirección General de la Agencia Estatal de Administración Tributaria por la que se modifica el capítulo séptimo, ordenadores personales, del documento de seguridad de los ficheros automatizados de carácter personal de la Agencia Tributaria aprobado por la Instrucción 5/2001 de 12 de septiembre Página de texto Instrucción 2/2008 de la dirección general de la agencia tributaria, sobre la gestión y el control de soportes informáticos CDIT

Políticas de Seguridad de la Agencia Tributaria Documento de Seguridad Es de obligado cumplimiento para todo el personal de la Agencia Los Directores y Delegados adoptaran las medidas necesarias para que sea conocido Estará a disposición de todo el personal La Comisión de Seguridad y control propondrá las medidas que considere necesarias para el desarrollo o adecuación del texto Ámbito Para todos los sistemas y ficheros Para todo el personal de la AEAT Para cualquier persona que acceda a la información Página de texto

Plan de Seguridad de la Agencia Tributaria Las Políticas de Seguridad de la Información y su revisión, la estrategia de la organización, el análisis de riesgos y la monitorización del estado de seguridad son el motor de iniciativas que se concretan en proyectos para la implantación de nuevas medidas de seguridad lógicas, físicas y organizativas o la revisión de las ya implantadas. Este conjunto de iniciativas conforman el Plan de Seguridad de la Información de la Agencia Tributaria. Página de texto Seguridad organizativa Seguridad física Seguridad lógica

Medidas de Seguridad de la AEAT Seguridad de los servicios Seguridad de los sistemas de información Seguridad del entorno de trabajo del empleado público Otros servicios de seguridad Página de texto Seguridad organizativa Seguridad física Seguridad lógica

Seguridad de los sistemas de información de la AEAT Página de texto Visión lógica de la infraestructura de la AEAT

Índice Sistema de Información Integrado de la AEAT Seguridad de la Información en el ámbito de la AEAT El control del uso de la información tributaria en los sistemas de información de la AEAT

La información es uno de los principales activos ¿Por qué es necesario el control del uso de la información tributaria gestionada por los sistemas de información de la AEAT? La información es uno de los principales activos de la Agencia Tributaria Legislación de protección de datos de carácter personal Página de texto

Normativa Tributaria Ley General Tributaria (artículo 95) “1. Los datos, informes o antecedentes obtenidos por la Administración Tributaria en el desempeño de sus funciones tienen carácter reservado y sólo podrán ser utilizados para la efectiva aplicación de los tributos o recursos cuya gestión tenga encomendada y para la imposición de las sanciones que procedan, sin que pueden ser cedidos o comunicados a terceros, salvo que la cesión tenga por objeto: … 3. La Administración tributaria adoptará las medidas necesarias para garantizar la confidencialidad de la información tributaria y su uso adecuado. Cuantas autoridades y funcionarios tengan conocimientos de estos datos, informes o antecedentes estarán obligados al mas estricto y completo sigilo respecto de ellos,…” Ley 13/1996, de 30 de diciembre. Disposición adicional octava “El acceso a los datos, informes o antecedentes obtenidos por las Administraciones Tributarias y por parte de un funcionario público para fines distintos de las funciones que le son propias, se considerará siempre falta grave.…” Página de texto

¿Cómo se consigue el control? Limitando la información que se puede acceder Controlando los accesos realizados Página de texto

Limitando la información que se puede acceder Autorizaciones Autorizaciones a empleados públicos de la AEAT Cada uno de los Departamentos definirá, en función de las tareas desarrolladas y la organización del trabajo, la relación de autorizaciones necesarias para el personal de ellos dependiente que dará lugar a perfiles de tipo general Estos perfiles serán abiertos, pudiéndose añadir o suprimir autorizaciones para un usuario concreto Comunicación de datos a otros organismos o entidades ajenas a la Agencia Tributaria Página de texto La Comisión de Seguridad y Control define los criterios de seguridad y las autorizaciones necesarias para el personal de estos organismos o entidades de acuerdo a los convenios firmados, la legislación tributaria y otra legislación como la de protección de datos de carácter personal. Los convenios de colaboración recogen cláusulas específicas relacionas con aspectos de seguridad y mecanismos de control.

Actores que intervienen Control del uso de la información tributaria en los sistemas de información de la AEAT Actores que intervienen Recursos humanos  Punto de entrada de datos de usuario Autorizadores  Gestiona sus usuarios y asigna autorizaciones (Subdirector General, Jefes de Unidades Centrales, Jefes de Dependencia, Administradores, Administrador de Seguridad) Comisión de Seguridad y Control  Establece criterios Controladores  Encargados de realizar el control (auditoría) de los accesos realizados por los usuarios a la información de la Agencia Tributaria. Administrador de Usuario Único  Responsables de la Administración y gestión de la herramienta de Gestión de Usuarios. Administrador de Seguridad  Garantiza que se aplican las directrices establecidas para la gestión de usuarios. Página de texto

Control de acceso en la AEAT Mecanismos de seguridad para el control del uso de la información tributaria en los sistemas de información de la AEAT F0099809: El concepto de control de acceso hace referencia a todo el proceso que abarca la gestión de usuarios, y la identificación y autenticación, gestión de las autorizaciones, el registro de accesos y su análisis. Identificación Autorización Autenticación Rastros Auditoría posterior de los mismos Control de acceso en la AEAT Identidad única: Gestión de usuarios  Herramienta de Usuario Único Autorizaciones: Puntos de control y Gestión autorizaciones  Herramienta de Usuario Único Identificación y Autenticación: Usuario único y contraseña Validados por RACF (Entorno HOST), Directorio Activo (Entorno no HOST) Para acceder a las aplicaciones ofrecidas en el portal de la Intranet también se utiliza el certificado electrónico de la INTRANET de la AEAT del usuario. Rastros: Instrucción 2/97 y Documento de Seguridad y cada aplicación debe dejar los rastros de acceso a las Bases de Datos de la AEAT Auditoría posterior de los mismos: Herramienta Controla Página de texto

Control del uso de la información tributaria Infraestructura de gestión de usuarios, autorizaciones y la identificación y autenticación de los usuarios Página de texto

Control del uso de la información tributaria Funcionalidades de la herramienta de Gestión de Usuarios Página de texto

Gestión de usuarios y autorizaciones Entrada de un nuevo empleado en la Agencia Tributaria Página de texto

Gestión de usuarios y autorizaciones Alta de usuario en la herramienta de gestión de usuarios Página de texto

Gestión de usuarios y autorizaciones Gestión de autorizaciones de un usuario Página de texto

Gestión de usuarios y autorizaciones Baja de un usuario en la herramienta de gestión de usuarios Página de texto

Identificación y autenticación Sincronización entre entornos de usuarios Página de texto

Identificación y autenticación Sincronización de contraseñas Página de texto

Identificación y autenticación Identificación y autenticación de aplicaciones de la Intranet Página de texto

Control de los accesos realizados Herramienta controla Deberán ser objeto de control todos los accesos que se produzcan a las bases de datos de la AEAT, excepto a las aplicaciones de tipo estadístico que no contengan datos de carácter personal Cada aplicación incorpora una rutina que registra todos los accesos a datos personales Página de texto

Control de los accesos realizados ¿Qué datos se registran? En cuanto al usuario: Código de usuario que accede, con indicación de los apellidos y nombre del mismo En cuanto al acceso: Fecha, hora y minuto del acceso Apellidos y nombre o razón social y NIF de la persona a la que se refiera la consulta Dato visualizado Si se trata de una relación de contribuyentes, deberá registrarse un acceso por cada uno de los contribuyentes visualizados El tipo de operación realizada Justificación Página de texto

Control de los accesos realizados Periodicidad del control El control de accesos se efectuará, con carácter general, quincenalmente Página de texto

Control de los accesos realizados Características del control Aplicación informática que, procede a seleccionar los accesos a las bases de datos que deberán ser objeto de justificación expresa teniendo en cuenta si los accesos son coherentes con el trabajo del usuario Página de texto La aplicación informática registrará la ejecución de la auditoría de los accesos

Control de los accesos realizados ¿Qué accesos selecciona la herramienta Controla? Sólo un porcentaje de los realizados Son seleccionados automáticamente por la aplicación Controla Se seleccionan los mas “sospechosos”en función de unos filtros definidos por la Comisión de Seguridad Relaciones económicas o familiares Página de texto

Control de los accesos realizados Justificación de los accesos Los usuarios deberán justificar los accesos por escrito dentro de los 15 días siguientes a la recepción de la comunicación en que se pide la justificación del acceso. Cualquier resistencia, negativa u obstrucción por parte del usuario a la justificación de los accesos, así como cualquier otra anomalía, se comunicará de forma inmediata al Administrador de Seguridad Página de texto

CONTRAPORTADA www.agenciatributaria.es