departamento/ servicio de …,delegación especial /delegación de…, administración de......

Departamento/ Servicio de …,Delegación Especial /Delegación de…, Administración de...Departamento de Informática Tributaria

Seguridad de la Información en la AEATEl control del uso de la información tributaria

Seguridad de la Información en la AEATEl control del uso de la información tributaria

Departamento/ Servicio de …,Delegación Especial /Delegación de…, Administración de...

Objetivos

Exponer el control del uso de la información tributaria gestionada por los sistemas de información de la AEAT de acuerdo a los criterios emanados de la Comisión de Seguridad y Control de Informática Tributaria


ÍndiceÍndice

Sistema de Información Integrado de la AEAT

Seguridad de la Información en el ámbito de la AEAT

El control del uso de la información tributaria en los

sistemas de información de la AEAT



Modelo de datos Base de Datos Centralizada

El SII gestiona:

• Todos los impuestos• Todos los contribuyentes• Todos los procedimientos

Esto permite:

• Control• Análisis y Estadísticas • Aprender y deducir


Servicios que se ofrecen a través del SII

Servicios relacionados con la gestión tributaria

Servicios al ciudadano, colaboración social y administraciones publicas


ÍndiceÍndice






¿Por qué es importante la Seguridad en la AEAT?

Seguridad jurídica de los servicios ofrecidos

Utilización de las TIC asegurando la disponibilidad, el acceso, la integridad, la autenticidad, la confidencialidad y la conservación de los datos, informaciones y servicios que gestionen en el ejercicio de sus competencias

GENERAR CONFIANZA

Para ello debe garantizar la...


Normativa estatal

• Art.18.4 de la Constitución Española

• La Ley 30/1992, de 26 de noviembre, de Régimen jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común (LRJPAC)

• La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD)

• El Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.

• El Real Decreto 263/1996, de 16 de febrero, por el que se regula la utilización de técnicas electrónicas, informáticas y telemáticas por la Administración General del Estado

• El Real Decreto 209/2003, de 21 de febrero, por el que se regulan los registros y las notificaciones telemáticas, así como la utilización de medios telemáticos para la sustitución de la aportación de certificados por parte del ciudadano

• La Ley 59/2003, de 19 de diciembre, de Firma Electrónica

• La Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos


Normativa tributaria

• Ley General Tributaria

• Real Decreto 1065/2007, de 27 de julio, por el que se aprueba el Reglamento General de las actuaciones y los procedimientos de gestión e inspección tributaria y de desarrollo de las normas comunes de los procedimientos de aplicación de los tributos

• Ley 1/1998 de 26 de febrero de Derechos y Garantías de los contribuyentes

• Ley 13/96 (limita los accesos)

• Orden HAC 1181/2003 por la que se establecen normas específicas en el uso de firma electrónica en las relaciones tributarias con la AEAT

• Resolución 24 de julio por la que se establece el procedimiento a seguir para la admisión de certificados usados en las relaciones tributarias de ámbito la AEAT

• Orden EHA 3256/2004 por la que se establecen los términos en los que podrán expedirse certificados electrónicos a las entidades sin personalidad jurídica a que se refiere el artículo 35.4 de la Ley General Tributaria

• Instrucción 5/2000, de 28 de julio, de la Dirección General de la Agencia Estatal de Administración Tributaria, sobre suministro de información tributaria a las administraciones públicas para el desarrollo de sus funciones, así como en los supuestos contemplados en las letras b), c) y d) del artículo 113.1 de la Ley General Tributaria


Otros mecanismos utilizados para generar confianza

Divulgación de los servicios electrónicos en los medios de comunicación

Convenios de colaboración para la cesión de datos a las administraciones publicas


Organización de la Seguridad en la AEAT

• Comisión de Seguridad y Control de Informática• Fija y mantiene actualizados de forma permanente los criterios y directrices

generales sobre seguridad de la información en el ámbito de las Tecnologías de la Información y las Comunicaciones.

• Fija y mantiene actualizados de forma permanente los criterios y directrices de acceso a información tributario por parte de otros organismos o entidades ajenas a la Agencia Tributaria.

• Y en general cualquier otra función de carácter general que tenga relación con la seguridad informática.

• Administradores de Seguridad• Personas especializadas en todos los temas que se comunican por la Comisión

y son responsables de velar por su realización y cumplimiento.

• Departamento de Informática Tributaria• Como responsable de todos los aspectos relacionados con las TIC es

responsable entre otros (Orden PRE/3581/2007) de los procedimientos operativos de seguridad de los sistemas de información, estableciendo las medidas de seguridad física y lógica y los criterios de acceso a las redes de

ordenadores, portátiles y otros dispositivos móviles.

• Dependencias Regionales de Informática Área Regional de Seguridad Informática

• Áreas específicas responsables de los aspectos técnicos relacionados con la seguridad informática.


Gestión de la Seguridad de la información en la AEAT

El SGSI (Sistema de Gestión de Seguridad de la Información) es el concepto central sobre el que se construye ISO 27001 (Information technology - Security techniques - Information security management systems – Requirements) y se basa en que la gestión de la seguridad de la información debe realizarse mediante un proceso sistemático, documentado y conocido por toda la organización.El Sistema de Gestión de la Seguridad de la Información (SGSI) ayuda a establecer estas políticas y procedimientos en relación a los objetivos de negocio de la organización, con objeto de mantener un nivel de exposición siempre menor al nivel de riesgo que la propia organización ha decidido asumir.Con un SGSI, la organización conoce los riesgos a los que está sometida su información y los asume, minimiza, transfiere o controla mediante una sistemática definida, documentada y conocida por todos, que se revisa y mejora constantemente.

Otros estándares utilizados:• ISO/IEC 27002:2005, Information technology - Security tecniques – Code of practice for information security management (anterior ISO/IEC 17799:2005)• COBIT, Objetivos de control para tecnologías de la información y similares• ITIL, mejores prácticas en la gestión de servicios TI e incluye opciones que pueden ser adoptadas y adaptadas según necesidades, circunstancias y experiencia de cada proveedor de servicios.• Series CCN-STIC, del Centro Criptológico Nacional (perteneciente al Centro Nacional de Inteligencia) con normativa de seguridad de las TIC.• Serie 800 del NIST, distintos principios y prácticas en seguridad comunes y de aplicación tanto en agencias gubernamentales como en corporaciones privadas.


Gestión de la Seguridad de la información en la AEAT

Políticas de SeguridadAnálisis de RiesgosPrograma de Seguridad

Políticas de SeguridadAnálisis de RiesgosPrograma de Seguridad

Implantar programa de seguridadConcienciación y Formación

Implantar programa de seguridadConcienciación y Formación

RecursosRecursos

Seguimiento y Análisis del estado de seguridadSeguimiento y Análisis del estado de seguridad

Detectar deficienciasAdoptar acciones correctivas y preventivas

Detectar deficienciasAdoptar acciones correctivas y preventivas


Políticas de Seguridad de la Agencia Tributaria

Procedimientosde seguridad

Normasde seguridad

Política de Seguridad

Principios Estratégico

Táctico

Operativo



Objetivos y directrices de Seguridad de la Información con el apoyo de toda la organización: Director General, Comité de Dirección y Comisión de Seguridad y Control de Informática Tributaria.

Norm

ativa

de

segu

ridad

Directrices de la

OrganizaciónLegis

lación

Misión de la Agencia

Tributaria



Normasde seguridad


Principios

La Dirección de la Agencia Tributaria da soporte a toda la Gestión de Seguridad de la Información



Instrucción nº 2/1997, de 11 de febrero , de la Dirección General de la Agencia Estatal de Administración Tributaria, sobre control de accesos a las bases de datos de la Agencia

Instrucción nº 5 de 12 de septiembre de 2001, de la Dirección General de la Agencia Estatal de Administración Tributaria, por la que se implanta el documento de seguridad de los ficheros automatizados de carácter personal de la Agencia Tributaria

Instrucción 4/2004 de 16 de abril de 2004, de la Dirección General de la Agencia Estatal de Administración Tributaria por la que se modifica el capítulo séptimo, ordenadores personales, del documento de seguridad de los ficheros automatizados de carácter personal de la Agencia Tributaria aprobado por la Instrucción 5/2001 de 12 de septiembre

CDIT


Normasde seguridad


Principios

Instrucción nº 2/1996, de 1 de febrero , de la Dirección General de la Agencia Estatal de Administración Tributaria, sobre accesos a las bases de datos y utilización de la información contenida en las mismas en la Agencia Estatal de

Administración Tributaria

Instrucción 2/2008 de la dirección general de la agencia tributaria, sobre la gestión y el control de soportes informáticos


Documento de Seguridad


Normasde seguridad


Principios

• Es de obligado cumplimiento para todo el personal de la Agencia• Los Directores y Delegados adoptaran las medidas necesarias para que

sea conocido• Estará a disposición de todo el personal

• La Comisión de Seguridad y control propondrá las medidas que

considere necesarias para el desarrollo o adecuación del texto

• Para todos los sistemas y ficheros• Para todo el personal de la AEAT• Para cualquier persona que acceda a la información

Ámbito



Plan de Seguridad de la Agencia Tributaria

Seguridad organizativa

Seguridad física Seguridad lógica

Las Políticas de Seguridad de la Información y su revisión, la estrategia de la organización, el análisis de riesgos y la monitorización del estado de seguridad son el motor de iniciativas que se concretan en proyectos para la implantación de nuevas medidas de seguridad lógicas, físicas y organizativas o la revisión de las ya implantadas. Este conjunto de iniciativas conforman el Plan de Seguridad de la Información de la Agencia Tributaria.


Medidas de Seguridad de la AEAT

Seguridad organizativa

Seguridad física Seguridad lógica

Seguridad de los servicios

Seguridad de los sistemas de información

Seguridad del entorno de trabajo del empleado público

Otros servicios de seguridad


Seguridad de los sistemas de información de la AEAT

Visión lógica de la infraestructura de la AEAT

DA

TO

S

SERVICIOS ELECTRÓNICOS DE

LA OFICINA VIRTUAL

SALIDA CORPORATIVA

INTERNET

CICS Web Server 3270

INFORMACIÓN PÚBLICA

PÁGINA WEB DE LA AEAT

INTRANET DE LA AEAT

Servicios de red, Aplicaciones Entornos no HOST (Abiertos)

y puestos de trabajo

APP2

APP4

EXTE2 EXTE3 PROI1 ORELLANA CITRIX

ADABAS DB2

APP1

AP

LIC

AC

IÓNCORREO CORPORATIVO

PR

ES

EN

TA

CIÓ

N

ORACLE

VIGNETTE

ADMINISTRACIÓN PARTE PÚBLICA

PÁGINA WEB AEAT

INTERNET

EXTRANET DE LA AEATUnión EuropeaRed TEAsAccesos Remotos de la AEAT (RTC, GPRS/UMTS) Intranet AdministrativaOtros organismosEmpresas de servicios

MOVILIDAD CITRIX

BBDD TAIFF

Infraestructura TAIFF

DA

TO

S

ACCESO VPN AEAT

TERMINADOR TÚNELES VPN


ÍndiceÍndice






¿Por qué es necesario el control del uso de la información tributaria gestionada por los sistemas de información de la

AEAT?

La información es uno de los principales activos de la Agencia Tributaria

Legislación de protección de datos de carácter personal


Normativa Tributaria

Ley General Tributaria (artículo 95)

“1. Los datos, informes o antecedentes obtenidos por la Administración Tributaria en el desempeño de sus funciones tienen carácter reservado y sólo podrán ser utilizados para la efectiva aplicación de los tributos o recursos cuya gestión tenga encomendada y para la imposición de las sanciones que procedan, sin que pueden ser cedidos o comunicados a terceros, salvo que la cesión tenga por objeto: …

3. La Administración tributaria adoptará las medidas necesarias para garantizar la confidencialidad de la información tributaria y su uso adecuado.

Cuantas autoridades y funcionarios tengan conocimientos de estos datos, informes o antecedentes estarán obligados al mas estricto y completo sigilo respecto de ellos,…”

Ley 13/1996, de 30 de diciembre. Disposición adicional octava

“El acceso a los datos, informes o antecedentes obtenidos por las Administraciones Tributarias y por parte de un funcionario público para fines distintos de las funciones que le son propias, se considerará siempre falta grave.…”


¿Cómo se consigue el control?

Limitando la información que se puede acceder

Controlando los accesos realizados


Limitando la información que se puede accederAutorizaciones

• Cada uno de los Departamentos definirá, en función de las tareas desarrolladas y la organización del trabajo, la relación de autorizaciones necesarias para el personal de ellos dependiente que dará lugar a perfiles de tipo general

• Estos perfiles serán abiertos, pudiéndose añadir o suprimir autorizaciones para un usuario concreto

• La Comisión de Seguridad y Control define los criterios de seguridad y las autorizaciones necesarias para el personal de estos organismos o entidades de acuerdo a los convenios firmados, la legislación tributaria y otra legislación como la de protección de datos de carácter personal.• Los convenios de colaboración recogen cláusulas específicas relacionas con aspectos de seguridad y mecanismos de control.

Comunicación de datos a otros organismos o entidades ajenas a la Agencia Tributaria

Autorizaciones a empleados públicos de la AEAT


Control del uso de la información tributaria en los sistemas de información de la AEAT

Actores que intervienen

• Recursos humanos Punto de entrada de datos de usuario

• Autorizadores Gestiona sus usuarios y asigna autorizaciones (Subdirector General, Jefes de Unidades Centrales, Jefes de Dependencia, Administradores, Administrador de Seguridad)

• Comisión de Seguridad y Control Establece criterios

• Controladores Encargados de realizar el control (auditoría) de los accesos realizados por los usuarios a la información de la Agencia Tributaria.

• Administrador de Usuario Único Responsables de la Administración y gestión de la herramienta de Gestión de Usuarios.

• Administrador de Seguridad Garantiza que se aplican las directrices establecidas para la gestión de usuarios.


Mecanismos de seguridad para el control del uso de la información tributaria en los sistemas de información de la AEAT

• Identificación• Autorización• Autenticación• Rastros • Auditoría posterior de los mismos

• Identidad única: Gestión de usuarios Herramienta de Usuario Único• Autorizaciones: Puntos de control y Gestión autorizaciones Herramienta de Usuario Único• Identificación y Autenticación:

•Usuario único y contraseña•Validados por RACF (Entorno HOST), Directorio Activo (Entorno no HOST)•Para acceder a las aplicaciones ofrecidas en el portal de la Intranet también se utiliza el certificado electrónico de la INTRANET de la AEAT del usuario.

• Rastros: Instrucción 2/97 y Documento de Seguridad y cada aplicación debe dejar los rastros de acceso a las Bases de Datos de la AEAT• Auditoría posterior de los mismos: Herramienta Controla

Control de acceso en la AEAT

F0099809:

El concepto de control de acceso hace referencia a todo el proceso que abarca la gestión de usuarios, y la identificación y autenticación, gestión de las autorizaciones, el registro de accesos y su análisis.

F0099809:

El concepto de control de acceso hace referencia a todo el proceso que abarca la gestión de usuarios, y la identificación y autenticación, gestión de las autorizaciones, el registro de accesos y su análisis.


Control del uso de la información tributariaInfraestructura de gestión de usuarios, autorizaciones y la

identificación y autenticación de los usuarios

USUARIOS

BD USUARIO

ÚNICO

RACF

DIRECTORIO ACTIVO

DOMINO

PROVISIÓN DE USUARIOS Y GESTIÓN DE AUTORIZACIONES

IDENTIFICACIÓN Y AUTENTICACIÓN DE USUARIOS

Entorno HOST

Entorno REDES

GESTIÓN DE USUARIOS, AUTORIZACIONES, LA IDENTIFICACIÓN Y AUTENTICACIÓN DE LOS USUARIOS

PKI Intranet AEAT


Control del uso de la información tributariaFuncionalidades de la herramienta de Gestión de Usuarios


Gestión de usuarios y autorizacionesEntrada de un nuevo empleado en la Agencia Tributaria

USUARIOS

BD USUARIO

ÚNICO

RACF

DIRECTORIO ACTIVO

DOMINO



Entorno HOST

Entorno REDES

RRHH

BD RRHH

BD CONSOLIDACIÓN

BBDD CONSOLIDACIÓN

DATOS EMPLEADOS PÚBLICOS

BBDD DATOS EMPLEADOS

PÚBLICOS

RRHH

1 2 3

4

Nuevo empleado público

GESTIÓN DE LA IDENTIFICACIÓN Y AUTENTICACIÓN DE LA AEAT

PKI Intranet AEAT


Gestión de usuarios y autorizacionesAlta de usuario en la herramienta de gestión de usuarios


Autorizador USUARIOS

BD USUARIO

ÚNICO

DOMINO

DIRECTORIO ACTIVO

RACF



Entorno HOST

Entorno REDES

1

Administrador de seguridad

Usuario

3

5

Usuario

Usuario Único

BD RRHH BD IDEN

2

PKI Intranet AEAT4

Nuevo empleado público


Gestión de usuarios y autorizacionesGestión de autorizaciones de un usuario



BD USUARIO

ÚNICODIRECTORIO ACTIVO



Entorno REDES

1


Usuario

Usuario

Usuario Único

DOMINO

RACFEntorno HOST

PKI Intranet AEAT


Gestión de usuarios y autorizacionesBaja de un usuario en la herramienta de gestión de usuarios



BD USUARIO




Entorno REDES

1


Usuario

2

Usuario

Usuario Único

DOMINO

RACFEntorno HOST

PKI Intranet AEAT


Identificación y autenticaciónSincronización entre entornos de usuarios

DOMINO

RACF

Entorno HOST


USUARIOS

BD USUARIO




Entorno REDES

3

1

PKI Intranet AEAT

2


Identificación y autenticaciónSincronización de contraseñas

DOMINO

RACF Entorno HOST


USUARIOS

BD USUARIO

ÚNICO

DIRECTORIO ACTIVO



Entorno REDES

1

PKI Intranet AEAT


Identificación y autenticaciónIdentificación y autenticación de aplicaciones de la Intranet

DOMINO

RACF Entorno HOST


USUARIOS

BD USUARIO




Entorno REDES

PC del usuario UsuarioA

PP

1

AP

P2

AP

P4

DB2ADABAS

En

torn

o e

jecu

ció

n

apli

caci

on

es

neg

oci

o

En

torn

o p

rese

nta

ció

n

apli

caci

on

es

neg

oci

o

CICSWEB

SERVER

PKI Intranet AEAT

BD Certificados PKI Intranet


Control de los accesos realizados Herramienta controla

Deberán ser objeto de control todos los accesos que se produzcan a las bases de datos de la AEAT, excepto a las aplicaciones de tipo estadístico que no contengan datos de carácter personal

Cada aplicación incorpora una rutina que registra todos los accesos a datos personales


Control de los accesos realizados¿Qué datos se registran?

En cuanto al usuario:• Código de usuario que accede, con indicación de los apellidos y nombre del

mismo

En cuanto al acceso:• Fecha, hora y minuto del acceso• Apellidos y nombre o razón social y NIF de la persona a la que se refiera la consulta• Dato visualizado• Si se trata de una relación de contribuyentes, deberá registrarse un acceso por cada uno de los contribuyentes visualizados• El tipo de operación realizada• Justificación


El control de accesos se efectuará, con carácter general, quincenalmente

Control de los accesos realizadosPeriodicidad del control


Aplicación informática que, procede a seleccionar los accesos a las bases de datos que deberán ser objeto de justificación expresa teniendo en cuenta si los accesos son coherentes con el trabajo del usuario

La aplicación informática registrará la ejecución de la auditoría de los accesos

Control de los accesos realizadosCaracterísticas del control


• Sólo un porcentaje de los realizados• Son seleccionados automáticamente por la

aplicación Controla• Se seleccionan los mas “sospechosos”en función

de unos filtros definidos por la Comisión de Seguridad

• Relaciones económicas o familiares

Control de los accesos realizados¿Qué accesos selecciona la herramienta Controla?


• Los usuarios deberán justificar los accesos por escrito dentro de los 15 días siguientes a la recepción de la comunicación en que se pide la justificación del acceso.

• Cualquier resistencia, negativa u obstrucción por parte del usuario a la justificación de los accesos, así como cualquier otra anomalía, se comunicará de forma inmediata al Administrador de Seguridad

Control de los accesos realizadosJustificación de los accesos


www.agenciatributaria.es

departamento/ servicio de …,delegación especial /delegación de…, administración de......

Documents