Criterios generales de seguridad en los sistemas de información al servicio de la Administración de Justicia

Transcripción

1 Criteris generales de seguridad en ls sistemas de infrmación al servici de la Administración de Justicia Acuerd del Plen, de 13 de septiembre de 2007

2 El Plen del Cnsej General del Pder Judicial, en su sesión de 13 de septiembre de 2007, ha adptad el siguiente acuerd: «Aprbar el dcument denminad Criteris generales de seguridad en ls sistemas de infrmación al servici de la Administración de Justicia, que se incrprará cm Anex al Test de Cmpatibilidad de ls Sistemas Infrmátics de Gestión Prcesal, aprbad pr el Plen en su sesión celebrada el 12 de abril de 2007.»

3 1. ANTECEDENTES La sensibilidad de la infrmación jurisdiccinal y la creciente imprtancia de ls sistemas de infrmación en la tramitación de ls prcedimients judiciales sn ds elements que inciden en la relevancia de la seguridad de la infrmación. El Cnsej General del Pder Judicial es cnsciente de la imprtancia de la seguridad en ls sistemas de infrmación al servici de la Administración de Justicia, y en particular en l relativ a ls aspects relacinads cn el cumplimient de la Ley Orgánica de Prtección de Dats y el Reglament de Medidas de Seguridad. El Códig de Cnducta para usuaris de equips y sistemas infrmátics al servici de la Administración de Justicia (Instrucción 2/2003, de 26 de febrer, BOE de 10 de marz de 2003) y la realización de auditrías de seguridad en ls sistemas de infrmación al servici de la Administración de Justicia (aprbada pr el Plen en sesión celebrada el 23 de juli de 2003), sn algunas de las iniciativas abrdadas y que reflejan esta imprtancia. Trabaj e iniciativas que han permitid cncluir cn la creación y declaración de ls Fichers de carácter persnal dependientes de ls Órgans Judiciales, efectuada pr Acuerd del Plen del Cnsej General del Pder Judicial de 20 de septiembre de 2006 (BOE de 12 de ctubre de 2006). En esa línea, la clabración de las Administracines Públicas cmpetentes en la prvisión de recurss y medis materiales (a las que se recnce, en el citad acuerd de 20 de septiembre de 2006, la cualidad de Encargads del tratamient, al ser ls respnsables de ls centrs de tratamient, lcales, equips, sistemas, prgramas, así cm del persnal técnic que interviene en el tratamient) y de ls usuaris (entendids cm tds ls prfesinales que prestan sus servicis en ls órgans judiciales) es indispensable, dad que cnstituyen una parte clave en el nivel de seguridad y prtección de la infrmación. El Cnsej General del Pder Judicial, al ampar de l dispuest en ls artículs de la Ley Orgánica del Pder Judicial, 97.1 y del Reglament núm. 1/2005, de 15 de septiembre, de ls Aspects Accesris de las Actuacines

4 Judiciales, ha elabrad este dcument que incluye un cnjunt de medidas que permitan mejrar y/ hmgeneizar (cuand prceda) el nivel de seguridad existente sbre ls sistemas de gestión prcesal. En este sentid, n debe ser interpretad cm una lista exhaustiva sin cm un marc de referencia ( mdel de seguridad) asciad a ls requerimients fundamentales relativs a la seguridad de ests sistemas, cuy desarrll, ejecución e implantación crrespnde a las Administracines Públicas cmpetentes en la dtación de medis materiales, en su respectiv ámbit territrial. En atención a las peculiaridades y necesidades prpias del Tribunal Suprem, dichas labres deberán ser llevadas a cab pr el Ministeri de Justicia en crdinación cn el Gabinete Técnic de Infrmación y Dcumentación del citad Alt Tribunal.

5 2. CRITERIOS BÁSICOS DE SEGURIDAD MARCO NORMATIVO Cn carácter general, las tareas realizadas pr las Administracines Públicas cmpetentes en la prvisión de recurss y medis materiales en l relativ a la gestión de la infraestructura tecnlógica y sistemas de infrmación al servici de la Administración de Justicia, estarán basadas en un Dcument de seguridad, de bligad cumplimient para el persnal cn acces a ls dats de carácter persnal de ls Sistemas de Infrmación de Gestión Prcesal, que describirá las medidas de seguridad (rganizativas y técnicas) puestas en marcha pr las mencinadas Administracines Públicas. El Dcument de seguridad, adecuadamente frmalizad e implantad, cntendrá ls aspects cntemplads en ls artículs 8.2 y 15 del Reglament de Medidas de Seguridad. Además, las Administracines Públicas cmpetentes elabrarán (y ejecutarán) un Plan de acción detallad de las medidas a adptar para dar cumplimient al expresad Dcument de seguridad, así cm las que permitan asegurar la ejecución de ls criteris técnics y rganizativs que se señalan a cntinuación. Una cpia de dich Dcument de Seguridad y del Plan de acción serán remitids a la Cmisión de Infrmática Judicial del Cnsej General del Pder Judicial. MEDIDAS TÉCNICAS Cnfiguración de infraestructura tecnlógica Ls servidres en ls que se ubiquen ls sistemas de gestión prcesal deberán prevenir riesgs asciads a access n autrizads derivads de la existencia de aplicacines y/ sistemas n relacinads cn aspects jurisdiccinales (pr ejempl: sistemas de infrmación sprte a las áreas,

6 departaments cnsejerías de educación, agricultura, ). Para ell implantarán las medidas y medis tecnlógics necesaris para garantizar la independencia, unicidad y prtección de ls dats. Las platafrmas tecnlógicas sprte a ls sistemas de gestión prcesal (l que también incluye sistemas perativs y bases de dats y, cuand prceda, cnfiguracines en puests clientes) estarán cnfiguradas de acuerd a guías y estándares de securización adecuadamente frmalizadas y actualizadas. La psibilidad de realizar cambis sbre esta cnfiguración estará restringida, previa aprbación, a un reducid númer de usuaris (persnal técnic especializad). Existirá un registr de cambis (que incluye la instalación de parches u tr tip de slucines facilitadas pr el prveedr). Cn carácter general, existirá una separación efectiva entre ls entrns de desarrll y prducción Identificación y autenticación Ls sistemas de infrmación (y sftware de base) dispndrán de mecanisms de identificación y autenticación que prevengan ls access n autrizads basads en la existencia de un identificadr unívc de usuari y cntraseña, mediante la utilización de certificad digital algún tr mecanism de prtección suficientemente prbad, dad el estad de la tecnlgía en cada mment y las características de la infrmación a prteger. En el cas de sistemas de identificación basads en usuari y cntraseña, la creación de un nuev usuari se realizará atendiend al prcedimient establecid y previa autrización del respnsable cmpetente. La asignación de cntraseña inicial será aleatria y, en cualquier cas, pre-expirada. Ls sistemas permitirán asciar períds de validez a ls identificadres de usuari de frma que fuera de ese rang de fechas el sistema prevenga la autenticación a través de dich identificadr.

7 Las cntraseñas de ls usuaris generales (es decir, sin privilegis especiales asciads a tareas de administración) deberán satisfacer, al mens, ls siguientes criteris: Calidad. La cntraseña tendrá, al mens, una lngitud mínima. Adicinalmente, deberá evaluarse la psibilidad de exigir reglas adicinales de cmplejidad en base al grad de madurez de ls cntrles de seguridad implantads. Cambi periódic. Ls usuaris deberán cambiar periódicamente sus cntraseñas (pr ejempl, cada tres meses). Existirá un históric de cntraseñas que prevenga la re-utilización de la cntraseña anterir. En cualquier cas, ls sistemas permitirán el cambi autónm de cntraseña pr parte de ls usuaris aún cuand n sea cm cnsecuencia del cambi periódic previst. En cualquier cas, las cntraseñas se almacenarán en las aplicacines y sistemas, de frma encriptada. Ls usuaris cn privilegis de administración cnsiderarán mecanisms adicinales de seguridad y prtección, en relación a las claves, para prevenir access n autrizads a través de sus identificadres. Ls sistemas de gestión prcesal y la infraestructura tecnlógica sprte dispndrán de mecanisms de blque de ls usuaris. En particular, cnsiderarán al mens las siguientes casuísticas: Blque autmátic pr intents reiterads de acces fallids (pr ejempl: 6 intents). Blque autmátic asciad a intents de acces fuera del interval de fechas de validez de un identificadr de usuari. Blque manual pr parte del Administradr. Se recmienda el blque autmátic pr n acces en un determinad períd de tiemp (pr ejempl: tres meses) cn bjet de regularizar las cuentas activas en el órgan judicial.

8 El desblque de un determinad identificadr se realizará, cn carácter general, de frma manual pr parte del persnal autrizad al efect. N se permitirá, cn carácter general, el acces a ls sistemas a través de usuaris genérics. Est incluye, sin limitarse a, aquells que, pr defect, sn creads en el prces de instalación de ls sistemas y aplicacines. En cualquier cas, deberá asignarse un respnsable de aquells usuaris genérics que se estimen necesaris. En el cas de sistemas basads en identificación digital, sl se pdrán utilizar certificads digitales autrizads pr la Administración cmpetente. Las aplicacines deberán cnsultar las listas de certificads revcads crrespndientes antes de permitir el acces. Igualmente pdrán ser utilizads sistemas bimétrics cm métd de identificación y autentificación Cntrl de acces Perfiles y rles. El acces a ls sistemas de infrmación de gestión prcesal estará basad, habitualmente, en perfiles y rles. Ests mecanisms determinarán, en base a las necesidades autrizadas de ls usuaris, ds aspects fundamentales: Las funcinalidades (de las previstas pr el sistema de infrmación) a las que pdrán acceder (cn frecuencia basad en punts de menú) Ls dats a ls que deberán tener acces. Para ell permitirá, sin perjuici de las capacidades de búsqueda y expltación de la infrmación, segmentar ls usuaris en base a criteris rganizativs cm ls órgans judiciales, seccines, etc. a las que están adscrits. Será psible aplicar mecanisms adicinales de prtección basads en expedientes asunts cncrets (pr ejempl, a través de listas de cntrl de acces) Cn relación a las sustitucines, ls sistemas de infrmación tenderán a cnsiderar el principi de herencia. En particular, se pretende que sea

9 psible asciar (y revcar) a un sustitut ls asunts en ls que participara el sustituid. Blque pr inactividad. Tras un períd de inactividad (pr ejempl: 30 minuts) se activará un mecanism de blque que evite la suplantación del usuari en mments en ls que su equip n esté atendid. Cn carácter general, ls privilegis de administración en ls prpis equips de ls usuaris estarán restringids. Es decir, se prevendrá la instalación de sftware n autrizad en ls equips de ls usuaris pr parte de ls misms Registr de access Ls access a ls expedientes asunts mantendrán un registr que incluya, al mens, la identificación del usuari, la fecha y hra en la que se realizó el acces, el tip de acces y si ha sid autrizad denegad. Se definirán pistas de auditría y seguimient de actividad en ls sistemas perativs y gestres de bases de dats. El seguimient estará, especialmente, rientad a las tareas de administración del sistema. La cnfiguración del sistema prevendrá la eliminación y/ desactivación de ests lgs Redes y cmunicacines La red en la que se ubiquen sistemas y a la que accedan ls usuaris de ls sistemas de infrmación al servici de la Administración de Justicia estará prtegida de access n autrizads. El acces a tras redes estará prtegid a través de crtafuegs (firewalls) u tr tip de mecanisms que aseguren en las cmunicacines a través de las redes lcales un nivel de prtección suficiente frente a las amenazas de tercers. Este apartad también incluye la existencia y actualización periódica de mecanisms de prtección frente a virus u trs códigs maliciss. Ls dispsitivs de red (cm encaminadres ruters -) también estarán adecuadamente securizads y prtegids.

10 La cnectividad remta ( teletrabaj ) a través de redes públicas de dats estará adecuadamente prtegida, en línea cn las slucines tecnlógicas de seguridad existentes en cada mment. Igualmente, la cnectividad a través de redes inalámbricas requerirá la cnfiguración (cn ls mecanisms actualmente dispnibles ls que puedan existir en el futur) segura de la misma. La administración de frma remta de ls equips y servidres, en cas de ser necesaria, se realizará mediante canales segurs. MEDIDAS ORGANIZATIVAS Organización de seguridad Las funcines y respnsabilidades asciadas a la administración y expltación de ls sistemas y, en particular, a la gestión de la seguridad de la infrmación estarán frmalmente aprbadas y asignadas a persnas cncretas. Estas funcines pueden incluir, sin limitarse a: Mantenimient y actualización del marc nrmativ. Instalación y cnfiguración segura de sistemas. Elabración de infrmes asciads al análisis de lgs. Mnitrización y reslución de incidencias. Frmación y cncienciación de usuaris Seguimient de access en sistemas perativs y gestres de bases de dats y, en términs generales, access en tareas de administración de sistemas. Seguimient de ls servicis cntratads en l que afecte a la administración y expltación de sistemas de gestión prcesal. Realización de cpias de respald Ubicación física de ls servidres y equips La ubicación física de ls servidres y dispsitivs de cmunicacines (electrónica de red, firewalls, ) prevendrá el acces n autrizad y se

11 realizará atendiend a un análisis de riesgs. En particular, el acces estará restringid de frma efectiva (pr ejempl, a través de puertas cerradas cn llave) a persnal autrizad. Existirá, pr l tant, un registr de ests access. Medidas de prtección mediambiental. Las salas en las que se ubiquen ls servidres tendrán sistemas de detección y extinción de incendis. La temperatura de la sala estará en ls rangs de peración definids pr ls fabricantes (habitualmente a través de sistemas de aire acndicinad). Pr últim, en cas de riesg de dañs pr agua (tuberías, instalacines aéreas de aire acndicinad refrigeradas pr agua, ) existirán sistemas que mitiguen prevengan ls dañs en ls equips y servidres. Garantía de suministr eléctric. Existirán mecanisms que aseguren el suministr eléctric n sól a ls servidres en ls que se ubiquen ls sistemas de gestión prcesal sin también a ls diferentes elements necesaris para asegurar la cnectividad de ls usuaris a ls servicis crítics. Cm rientación general y en la medida que resulte psible, ls equips de ls usuaris n estarán ubicads en znas de pas distribución Frmación y cncienciación de usuaris Se desarrllarán mecanisms de frmación y cncienciación específicamente rientads a la seguridad de la infrmación (cmplementaris a ls que el Cnsej General del Pder Judicial pudiera arbitrar). Habitualmente estarán basads en curss presenciales y/ a través de e-learning, y tendrán carácter periódic. Entre las áreas que pueden incluir figuran: Cncimient del marc nrmativ en l que sea relevante a la perativa de ls diferentes usuaris. Funcines y respnsabilidades de ls usuaris. Cnfidencialidad y privacidad de las cntraseñas (u trs mecanisms de autenticación)

12 Criteris de cnservación y almacenamient de ls fichers generads pr ls usuaris (incluyend la eliminación de ls fichers temprales) Plíticas de blque de pantalla y puest de trabaj despejad de papeles y sprtes cn infrmación sensible. Cndicines de trabaj fuera de las ficinas habituales Seguimient de access Revisines periódicas de usuaris autrizads. Periódicamente (pr ejempl, cada tres meses) se realizará, pr parte de ls usuaris cmpetentes, una revisión de ls usuaris autrizads para identificar usuaris cn acces indebid ptencial a ls sistemas. A tal efect, ls sistemas permitirán btener ls usuaris activs en ls sistemas para pder cntrastar dicha lista cn ls usuaris autrizads e identificar excepcines. Registr de usuaris cn privilegis de administración. Existirá un registr de usuaris cn privilegis de administración (asciads a tareas habituales de mantenimient y expltación de sistemas cm cnsecuencia de access de emergencia de usuaris de desarrll a prducción). Este registr incluirá el identificadr autrizad, el períd de validez, el respnsable de la autrización y las tareas a realizar pr el mism. Este registr pdrá servir cm fuente de cntraste cn el lg de ls sistemas. El Cnsej General del Pder Judicial cnsidera este apartad especialmente relevante pr ls riesgs de seguridad inherentes a la función de administración de sistemas y pr la cnstatación que, en casines, estas tareas sn realizadas pr persnal extern (pr ejempl, adscrit a empresas privadas cn las que la Administración Pública tiene suscrit un cntrat) en el que el índice de rtación puede ser elevad. El mantenimient actualizad de este registr (cnjuntamente cn la trazabilidad de las accines realizadas pr ests usuaris) debería permitir un seguimient más efectiv de las tareas que se realizan. El registr de usuaris cn privilegis de administración estará a dispsición de la Cmisión de Infrmática Judicial.

13 Cpias de respald Se realizarán cpias de respald, en base a ls prcedimients frmalizads y de acuerd a un calendari previst, que aseguren, en cas de ser necesari, la recuperación de la infrmación anterir a prducirse la incidencia. El calendari determinará el períd de retención y ls cntrles asciads a la rtación de ls sprtes. Deberá cnservarse una cpia de respald y de ls prcedimients de recuperación de ls dats en un lugar diferente de aquel en el que se encuentren ls equips y servidres (cn medidas de restricción de acces suficientes). El traslad se realizará preservand la cnfidencialidad de la infrmación Cntrats de prestación de servicis. Las Administracines Públicas cmpetentes en la prvisión de recurss y medis materiales mantendrán un registr actualizad de las rganizacines prestadras de servicis que pudieran tener acces a infrmación de gestión prcesal. En este sentid, estarán identificads para cada rganización las funcines asciadas, las persnas cn acces, Las Administracines Públicas arbitrarán mecanisms de seguimient y cntrl de las empresas entidades que prestan asistencias técnicas de frma que sea psible cnseguir un nivel asimilable de cntrl a la realización interna de las funcines. Ls sistemas de seguimient y cntrl pueden estar basads en estándares, cm pr ejempl ITIL. En cualquier cas, las cláusulas cntractuales cnsiderarán acuerds de cnfidencialidad que prevalecerán aún cuand haya finalizad el cntrat Prcesamient paralel pr parte del usuari final Las Administracines Públicas arbitrarán mecanisms que permitan el mantenimient y actualización de las aplicacines asciadas a la gestión prcesal. Asimism, existirán registrs de incidencias de slicitudes de

14 mantenimients evlutivs y se realizará un seguimient de la reslución y/ cierre de las mismas. Pr tra parte, se restringirán ls privilegis de instalación de prgramas diferentes a ls prevists en las maquetas de equips fimátics definidas. Estas aplicacines pdrán ser instaladas exclusivamente pr ls administradres autrizads, que en td mment seguirán las nrmas señaladas en el Dcument de seguridad. Eventualmente, se realizará un seguimient para identificar sftware n crprativ instalad en ls equips de usuari. Las excepcines que se identifiquen y el análisis de las mismas permitirán arbitrar las medidas de sensibilización y cncienciación aplicables. En td mment ls dats gestinads cn las herramientas fimáticas aplicacines distintas a las previstas, seguirán ls misms criteris de seguridad, que ls establecids para las aplicacines crprativas. En ningún cas se crearán fichers de carácter persnal distints a ls declarads atendiend a ls requerimients de la Ley Orgánica de Prtección de Dats. Ls sistemas de gestión prcesal dispndrán de mecanisms de seguimient de la frecuencia de acces de ls diferentes identificadres de usuari al sistema. Es decir, permitirán identificar usuaris que n han accedid durante un determinad períd de tiemp al sistema de gestión prcesal Revisines periódicas Al mens cada ds añs se revisará el grad de implantación del mdel de seguridad sbre ls sistemas de infrmación e infraestructura tecnlógica al servici de la Administración de Justicia y el nivel de madurez de ls cntrles. El análisis tendrá un alcance cmplet y, cm cnsecuencia del mism, se derivará además del diagnóstic, un seguimient de las accines previstas asciadas a la mejra cntinua en el nivel de seguridad y cntrl. Además, cuand prceda, incluirá prpuestas asciadas a la reslución de ls aspects susceptibles de mejra.

15 SECRETARIO JUDICIAL El Secretari Judicial, en el marc de las cmpetencias cntempladas en el artícul 454 de la Ley Orgánica del Pder Judicial, velará pr la bservancia en las ficinas judiciales de ls criteris generales de seguridad establecids en el presente dcument. RESPONSABLES DE SEGURIDAD Las Administración Pública cmpetente, en su respectiv ámbit territrial, designará un varis respnsables de seguridad encargads de crdinar y cntrlar las medidas definidas en el crrespndiente Dcument de seguridad. Dicha designación será cmunicada a la Cmisión de Infrmática Judicial del Cnsej General del Pder Judicial, AUDITORÍA Ls Sistemas de Infrmación al servici de la Administración de Justiciase smeterán a una auditría que verifique el cumplimient del presente dcument y de ls prcedimients e instruccines vigentes en materia de seguridad de dats, al mens cada ds añs. Crrespnde al Cnsej General del Pder Judicial a la Administración Pública cmpetente, cuand así l haya manifestad, la práctica y ejecución de la citada auditría. El infrme de auditría deberá dictaminar sbre la adecuación de las medidas y cntrles al presente dcument, identificar sus deficiencias y prpner las medidas crrectras cmplementarias necesarias. Deberá, igualmente, incluir ls dats, hechs y bservacines en que se basen ls dictámenes alcanzads y recmendacines prpuestas.

16 Ls infrmes de auditría serán analizads pr el respnsable de seguridad cmpetente, que elevará sus cnclusines a la Cmisión de Infrmática Judicial, así cm a la Administración Pública cmpetente, a fin de que se adpten las medidas crrectras adecuadas Ls infrmes de auditría quedarán a dispsición de la Agencia de Prtección de Dats. PLAZOS DE EJECUCIÓN Las Administracines Públicas cmpetentes deberán adptar las medidas que a cntinuación se relacinan en ls plazs especificads: Cmunicar a la Cmisión de Infrmática Judicial la designación del Respnsable de Seguridad, así cm de la cnfección del registr de rganizacines prestadras de servicis, en Diciembre de Enviar a la Cmisión de infrmática Judicial el Dcument de Seguridad así cm el denminad Plan de acción, en Ener de Llevar a cab la Auditria de seguridad reseñada en el presente dcument, durante el primer trimestre de 2009.