Schimbă la profesioniști

|
Política de Seguridad

Politica de securitate

Versiune actualizată la 16 octombrie 2023

REPRODUCEREA TOTALĂ SAU PARȚIALĂ A ACESTUI DOCUMENT ESTE INTERZISĂ FĂRĂ AUTORIZAȚIE

Organizarea și implementarea procesului de securitate (Art. 13)

Această „Politică de Securitate a Informațiilor” este valabilă de la data intrării în vigoare, 16 octombrie 2023, de către Insulcloud.

Politica este revizuită de Responsabilul cu Securitatea Informațiilor la intervale planificate, fără a depăși un an, sau ori de câte ori apar modificări semnificative, pentru a asigura menținerea adecvării, eficacității și conformității.

Securitatea sistemelor informatice trebuie să implice toți membrii organizației și să fie comunicată eficient.

Modificările aduse Politicii de Securitate a Informațiilor vor fi aprobate de conducerea Insulcloud și comunicate întregii organizații.

Conducerea companiei este conștientă de valoarea informației și este profund angajată în aplicarea acestei politici.

Cadru normativ

Cadrul normativ în domeniul securității informațiilor în care își desfășoară activitatea Insulcloud este în principal următorul:

  • Legea organică 3/2018 din 5 decembrie privind protecția datelor cu caracter personal și garantarea drepturilor digitale.
  • Decretul Regal 311/2022 din 3 mai privind Schema Națională de Securitate (ENS) în administrația electronică.
  • ENS. Articolul 12. Organizarea și implementarea procesului de securitate.
  • REGULAMENTUL (UE) 2016/679 (GDPR) privind protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal.
  • Ghidul de securitate TIC CCN-STIC 805 ENS. Politica de securitate a informațiilor.
  • Ghidul de securitate TIC CCN-STIC 801 ENS. Responsabilități și funcții.
  • Contract Colectiv Național aplicabil: „Convenția colectivă națională a companiilor de inginerie; birouri de studii tehnice; inspecție, supraveghere și control tehnic și de calitate”.
  • Legea 34/2002 din 11 iulie privind Serviciile Societății Informaționale și Comerțul Electronic (LSSI-CE).

Misiune

Scopul acestei Politici de Securitate a Informațiilor este protejarea informațiilor utilizate în serviciile Insulcloud.

Politica de Securitate și Normativa de Securitate vor fi comunicate tuturor angajaților pentru analiză, înțelegere și aplicare.

Această politică se aplică Sistemului Informatic deținut de Insulcloud, pentru prestarea serviciilor de asistență tehnică prin alocarea personalului calificat către organizații publice și monitorizarea activităților acestuia în următoarele domenii:

  • Consultanță TIC și securitate, audit tehnic și de conformitate, conform RD 311/2022, ISO/IEC 27001 și Declarației de Aplicabilitate în vigoare.

Funcții de securitate

Insulcloud a desemnat un COMITET de Securitate cu funcții și responsabilități definite.

Instituirea acestui comitet, precum și desemnarea diferitelor roluri sunt consemnate în Procesul-verbal de constituire a Comitetului (11/06/2021) și în Procesul-verbal de Numire (11/06/2021).

Comitetul de Securitate a Informațiilor ENS este format din:

  • Responsabil de Securitate
  • Responsabil de Sisteme
  • Responsabil de Informații
  • Responsabil de Serviciu
  • Responsabil de Direcție

Pentru fiecare rol există un supleant desemnat.

Responsabilitățile trebuie definite clar și cunoscute de toți membrii organizației.

Numirile sunt stabilite de Direcția organizației și revizuite la fiecare 2 ani sau când un post devine vacant.

Rolurile și responsabilitățile lor sunt următoarele:

  • Responsabilul de Direcție are următoarele funcții:

    • Stabilirea obiectivelor și asigurarea îndeplinirii acestora
    • Înțelegerea activității fiecărui departament și modul în care acestea colaborează
    • Organizarea funcțiilor, responsabilităților și a Politicii de Securitate
    • Punerea la dispoziție a resurselor, bugetului și personalului necesar

  • Responsabilul de Informații are următoarele funcții:

    • Acceptarea riscurilor reziduale privind informațiile, identificate în analiza de risc.
    • Evaluarea propunerilor Responsabilului de Securitate și Responsabilului de Sistem.
    • Determinarea cerințelor privind informațiile prelucrate.
    • Asigurarea protecției informațiilor (fizice, de serviciu, confidențialitate).
    • Monitorizarea modificărilor legislative relevante.
    • Implementarea măsurilor tehnice și organizatorice pentru protecția datelor personale.

  • Responsabilul de Serviciu are următoarele funcții:

    • Determinarea cerințelor de securitate pentru serviciile oferite clienților.
    • Revizuirea și aprobarea nivelurilor de securitate.
    • Integrarea specificațiilor de securitate în ciclul de viață al serviciilor.
    • Evaluarea impactului negativ asupra securității serviciilor.
    • Asumarea responsabilității riscurilor asupra serviciilor.

  • Responsabilul de Sistem are următoarele funcții:

    • Dezvoltarea, operarea și mentenanța Sistemului.
    • Definirea topologiei și politicilor de gestionare.
    • Definirea politicilor de conectare/deconectare.
    • Implementarea măsurilor specifice de securitate.
    • Determinarea configurației autorizate hardware/software.
    • Aprobarea modificărilor majore ale configurației.
    • Realizarea procesului de analiză și gestionare a riscurilor.
    • Elaborarea și aprobarea documentației de securitate.
    • Investigarea incidentelor de securitate.
    • Stabilirea planurilor de continuitate și urgență.

  • Responsabilul de Securitate are următoarele funcții:

    • Este desemnat de Direcția organizației.
    • Ia decizii pentru a satisface cerințele de securitate a informațiilor.
    • Asigură securitatea și confidențialitatea datelor companiei.
    • Supraveghează accesul la informațiile companiei.
    • Elaborează măsuri de răspuns la incidente și recuperare în caz de dezastru.
    • Asigură respectarea normelor aplicabile.
    • Coordonează responsabilitățile în cazul externalizării serviciilor.
    • Menține securitatea informațiilor și a serviciilor furnizate.
    • Promovează formarea și conștientizarea în domeniul securității.
    • Asigură utilizarea corectă a echipamentelor informatice.
    • Coordonează echipa responsabilă de gestionarea incidentelor de securitate.
    • Acționează ca POC pentru securitatea informațiilor cu Clienții.
    • Luptă împotriva fraudei și furtului de informații.
    • Elaborează Planul de formare ENS pentru personalul Insulcloud.

  • DPO (Responsabil cu Protecția Datelor) are următoarele funcții:

    • Informarea și consilierea privind obligațiile conform GDPR.
    • Monitorizarea conformității și efectuarea de audituri.
    • Oferirea de consultanță privind evaluarea impactului asupra protecției datelor.
    • Punct de contact cu Autoritatea de Supraveghere.
    • Desfășoară funcțiile ținând cont de natura și riscurile prelucrării.

În caz de deficiențe majore de securitate, Responsabilul de Sistem poate suspenda prelucrarea sau serviciul, cu acordul responsabililor relevanți.

Rapoarte

Administratorul de securitate raportează Responsabilului de Sistem sau Responsabilului de Securitate, în funcție de subordonarea funcțională:

  • Incidente legate de securitatea sistemului sau acțiuni de configurare, actualizare sau corectare.

Responsabilul de Sistem informează Responsabilul Informației despre incidentele funcționale legate de informațiile de competența sa.

Responsabilul de Sistem informează Responsabilul Serviciului despre incidentele funcționale legate de serviciul de competența sa.

Responsabilul de Sistem raportează Responsabilului de Securitate:

  • Acțiuni în materie de securitate, în special cele legate de deciziile privind arhitectura sistemului
  • Rezumat consolidat al incidentelor de securitate.

Analiza și gestionarea riscurilor (Art. 14)

Se va realiza o analiză a riscurilor, evaluând amenințările și riscurile la care sunt expuse. Această analiză va sta la baza determinării măsurilor de securitate care trebuie aplicate, pe lângă minimele stabilite conform articolelor 7 și 14 din BOE, și se va repeta:

  • Periodic, cel puțin o dată pe an.
  • Când se modifică informațiile gestionate.
  • Când se modifică serviciile furnizate.
  • Când apare un incident grav de securitate.
  • Când sunt raportate vulnerabilități grave.
  • Când există un incident de securitate legat de legislația LOPDGDD.
  • Când există o breșă de securitate referitoare la datele unui utilizator conform legislației LOPDGDD.

Criteriile de evaluare a riscurilor vor fi specificate în metodologia de evaluare a riscurilor și incidentelor de securitate, elaborată de organizație pe baza standardelor, bunelor practici recunoscute și normelor legale.

Trebuie tratate, cel puțin, toate riscurile care pot împiedica în mod grav furnizarea serviciilor sau îndeplinirea misiunii organizației. Vor fi prioritizate riscurile care implică întreruperea serviciilor sau afectarea informațiilor prelucrate.

Criteriile de evaluare a riscurilor vor fi specificate în metodologia elaborată de organizație, bazată pe standarde și bune practici recunoscute. Trebuie tratate, cel puțin, toate riscurile care pot împiedica grav furnizarea serviciilor de Insulcloud către Clienți.

Proprietarul riscului trebuie informat cu privire la riscurile care îi afectează bunurile și la riscul rezidual la care este expus. Când un sistem informatic intră în operare, riscurile reziduale trebuie acceptate formal de către proprietarul corespunzător.

Gestionarea personalului (Art. 15)

Personalul, propriu sau extern, implicat în sistemele informatice supuse acestui Decretul Regal 311/2022, trebuie să fie instruit și informat despre îndatoririle, obligațiile și responsabilitățile sale în materie de securitate.

Activitatea acestuia trebuie supravegheată pentru a verifica respectarea procedurilor stabilite, aplicarea regulilor și procedurilor operaționale de securitate aprobate.

Semnificația și domeniul utilizării sigure a sistemului vor fi stabilite în documentul Norme de Securitate, aprobat de conducerea Insulcloud. Acesta va fi comunicat întregii organizații și este obligatoriu pentru fiecare nou membru al Insulcloud.

Profesionalism (Art. 16)

Securitatea sistemelor informatice va fi gestionată, revizuită și auditată de personal calificat, dedicat și instruit în toate etapele ciclului de viață: planificare, proiectare, achiziție, implementare, exploatare, mentenanță, managementul incidentelor și dezafectare.

Entitățile din domeniul de aplicare al acestui decret vor solicita, obiectiv și nediscriminatoriu, ca organizațiile care prestează servicii de securitate să aibă profesioniști calificați și un nivel adecvat de maturitate și gestionare a serviciilor.

Insulcloud va stabili cerințele de formare și experiență necesare pentru personalul implicat.

Autorizarea și controlul accesului (Art. 17)

Accesul controlat la sistemele informatice din domeniul de aplicare al acestui decret va fi limitat la utilizatori, procese, dispozitive sau alte sisteme informatice autorizate și exclusiv la funcțiile permise.

Privilegiile de acces ale unei resurse (persoană) la sistemul informatic al Insulcloud sunt, în mod implicit, limitate la minimul necesar pentru îndeplinirea sarcinilor.

Sistemul informatic al Insulcloud va fi configurat astfel încât să prevină accesul accidental la resurse cu drepturi diferite de cele autorizate.

Protecția instalațiilor (Art. 18)

Sistemele informatice și infrastructura lor de comunicații trebuie să se afle în zone controlate și să dispună de mecanisme de acces adecvate și proporționale, în funcție de analiza riscurilor, fără a afecta prevederile din Legea 8/2011, din 28 aprilie și Decretul Regal 704/2011, din 20 mai.

Achiziționarea de produse și servicii de securitate (Art. 19)

La achiziția produselor de securitate sau la contractarea serviciilor de securitate IT utilizate în sistemele informatice vizate de acest decret, se vor folosi, proporțional cu categoria sistemului și nivelul de securitate stabilit, acelea care au funcționalități de securitate certificate corespunzătoare.

Organismul de Certificare al Sistemului Național de Evaluare și Certificare a Securității IT din cadrul Centrului Criptologic Național (CCN), ținând cont de criteriile și metodele de evaluare recunoscute național și internațional, va determina următoarele aspecte:

  • Cerințele funcționale de securitate și de asigurare a certificării.
  • Alte certificări suplimentare cerute de reglementări.
  • În mod excepțional, criteriul de urmat în cazurile în care nu există produse sau servicii certificate.

Contractarea serviciilor de securitate va respecta prevederile anterioare și dispozițiile articolului 16.

Principiul minimului privilegiu (Art. 20)

Sistemele informatice trebuie proiectate și configurate acordând doar privilegiile minime necesare pentru funcționarea corectă, incluzând următoarele aspecte:

  • Sistemul va oferi doar funcționalitățile esențiale pentru ca organizația să își îndeplinească obiectivele.
  • Funcțiile de operare, administrare și înregistrare a activității vor fi minimul necesar și vor fi efectuate doar de persoane autorizate, de pe echipamente sau locații autorizate.
  • Funcțiile inutile sau necorespunzătoare vor fi eliminate sau dezactivate prin controlul configurației.
  • Vor fi aplicate ghiduri de configurare a securității adaptate categoriei sistemului.

Integritatea și actualizarea sistemului (Art. 21)

Includerea sau modificarea oricărui element fizic sau logic în catalogul actualizat al activelor sistemului necesită autorizarea formală a Responsabilului de Securitate al Insulcloud.

Evaluarea și monitorizarea permanentă vor permite adaptarea nivelului de securitate al sistemelor în funcție de vulnerabilități, configurații și actualizări, precum și detectarea rapidă a incidentelor. Responsabilitatea revine Responsabilului de Securitate al Insulcloud.

Protecția informațiilor stocate și în tranzit (Art. 22)

În organizarea și implementarea securității, se va acorda o atenție deosebită informațiilor stocate sau în tranzit prin dispozitive mobile, periferice, suporturi informatice și comunicații prin rețele deschise.

Se vor aplica proceduri care garantează recuperarea și conservarea pe termen lung a documentelor electronice generate de sistemele informatice, atunci când este necesar.

Orice informație pe suport non-electronic legată direct de informația electronică trebuie protejată cu același nivel de securitate.

Prevenirea în cazul sistemelor informatice interconectate (Art. 23)

Perimetrul sistemului informatic va fi protejat, în special dacă este conectat la rețele publice, conform definiției din Legea 9/2014, din 9 mai, întărind activitățile de prevenire, detectare și răspuns la incidente.

Înregistrarea activității și detectarea codului dăunător (Art. 24)

Pentru a respecta obiectivul acestui decret, cu garanții depline ale dreptului la viață privată și protecția datelor, activitățile utilizatorilor vor fi înregistrate, păstrând doar informațiile strict necesare pentru monitorizare, analiză, investigare și documentare.

Pentru protejarea securității sistemelor, conform GDPR, în măsura strict necesară, pot fi analizate comunicațiile în scop exclusiv de securitate a informațiilor.

Pentru a putea stabili responsabilități, fiecare utilizator al sistemului trebuie identificat în mod unic, știindu-se în orice moment ce drepturi are și ce activitate desfășoară.

Incidente de securitate (Art. 25)

Entitatea deținătoare a sistemelor informatice va dispune de proceduri de gestionare a incidentelor de securitate, conform articolului 33 și Instrucțiunilor Tehnice de Securitate, precum și, dacă este cazul, conform anexei Decretul Regal 43/2021, din 26 ianuarie.

Vor exista mecanisme de detectare, criterii de clasificare, proceduri de analiză și soluționare, precum și canale de comunicare și registre ale acțiunilor. Aceste registre vor fi utilizate pentru îmbunătățirea continuă a securității sistemului.

Continuitatea activității (Art. 26)

Sistemele vor dispune de copii de rezervă și de mecanismele necesare pentru a garanta continuitatea operațiunilor în caz de pierdere a mijloacelor obișnuite.

Îmbunătățirea continuă a procesului de securitate (Art. 27)

Procesul integrat de securitate implementat trebuie actualizat și îmbunătățit continuu, aplicând criterii și metode recunoscute național și internațional privind managementul securității informațiilor.

Referință documentară

  • IC_Inventar Politici_v1
  • IC_Normativă Securitate_v1
  • IC_Politica de Confidențialitate_v1

Controlul modificărilor

VERSIUNEDATAAUTORDESCRIERE
0116/10/2023Nacho GaiteroActualizare ISO 27001 - ENS
0026/10/2020Miguel Uña VázquezVersiunea inițială a procedurii

Certificat de securitate

Sistemul de management al securității informațiilor al Insulcloud este certificat conform: