Material docent del curs realitzat els dies 10 i 17 de novembre a Tarragona i Barcelona, respectivament. Aquest s'ha dut a terme gràcies a l'Associació d'Arxivers de Catalunya. La participació ha de estat de 41 persones.
TIPUS DE POSICIONS D'UNA RECTA. VERITABLE MAGNITUD.
Com es fa un Quadre de Seguretat i Accés?
1. COM ES FA UN QUADRE DE
SEGURETAT I ACCÉS?
L’experiència de l’Ajuntament de
Terrassa
Laura Orenga i Gaya, Entitat Autònoma del Diari Oficial i Publicacions.
Joan Soler i Jiménez, Arxiu Històric de Terrassa.
Novembre de 2010
2. MARC VIGENT DE LA SEGURETAT
Legislació, Normatives i Esquemes Actius
3. LLEI 11/2007
• Seguretat jurídica.
• Seguretat dels sistemes.
• Seguretat en la implantació i utilització dels
mitjans electrònics i no electrònics.
• Seguretat i confidencialitat de les dades.
• Seguretat de l’entorn tancat de
comunicacions.
• Esquema Nacional de Seguretat.
3
4. ESQUEMA NACIONAL DE SEGURETAT
• Sistema de información: Conjunto organizado
de recursos para que la información se pueda
recoger, almacenar, procesar o tratar,
mantener, usar, compartir, distribuir, poner a
disposición, presentar o transmitir.
• La raó de ser d’un Sistema d’Informació és
l’accés a allò que gestiona.
4
5. ESQUEMA NACIONAL DE SEGURETAT
• Los sistemas de información prestarán sus
servicios y custodiarán la información de
acuerdo con sus especificaciones funcionales,
sin interrupciones o modificaciones fuera de
control, y sin que la información pueda llegar
al conocimiento de personas no autorizadas.
5
6. ESQUEMA NACIONAL DE SEGURETAT
• Seguridad de las redes y de la información: Es
la capacidad de las redes o de los sistemas de
información de resistir, con un determinado
nivel de confianza, los accidentes o acciones
ilícitas o malintencionadas que comprometan
la disponibilidad, autenticidad, integridad y
confidencialidad de los datos almacenados o
transmitidos y de los servicios que dichas
redes y sistemas ofrecen o hacen accesibles.
6
7. ESQUEMA NACIONAL DE SEGURETAT
• Sistema de gestión de la seguridad de la
información (SGSI): Sistema de gestión que, basado
en el estudio de los riesgos, se establece para crear,
implementar, hacer funcionar, supervisar, revisar,
mantener y mejorar la seguridad de la información.
El sistema de gestión incluye la estructura
organizativa, las políticas, las actividades de
planificación, las responsabilidades, las prácticas, los
procedimientos, los procesos y los recursos.
7
8. NORMATIVES
• La sèrie de normes ISO 27000: Sistemes de
Gestió de la Seguretat de la Informació.
• ISO 27001 – ISO 27037.
• Adreçades a un Sistema marc de Gestió de la
Seguretat, del qual el Quadre de Seguretat
n’és només un element.
• http://www.iso27000.es/iso27000.html
8
10. ESQUEMES ACTIUS
• Esquemes de seguretat de Gestors Documentals.
• Esquema de seguretat d’unitats de xarxa corporatives.
• Esquema de seguretat aplicats a documentació en paper.
• Tot són experiències pràctiques.
• El de Terrassa és un més. Cada esquema s’ha d’adaptar a
la seva realitat. Els estàndards inspiren, però no són mai
aplicables cent per cent. A no ser que la seva certificació
sigui necessària.
10
12. ESQUEMA DE SEGURETAT
• Esquema: Un conjunt de principis i
requisits establerts per una política de
seguretat adreçada a l’utilització de
mitjans electrònics mitjançant una
adequada protecció de la informació.
12
13. MODEL DE SEGURETAT
• Model: Sistema estratègic de gestió
integrada que coordina els règims de
seguretat i accés a la documentació, amb
les necessitats de protecció de dades
personals.
• Security Plan.
13
14. MODEL DE SEGURETAT INTERN
• Intern: Model orientat a aportar
seguretat i control en la fase de
producció documental i en la fase activa
de vigència administrativa d’aquesta
documentació.
14
15. MODEL DE SEGURETAT EXTERN
• Extern: Model orientat a aportar
seguretat i control en la fase de
notificació documental, a la fase activa
de vigència administrativa d’aquesta
documentació i a l’acompliment de la llei
11/2007 d’accés dels ciutadans a
l’Administració Electrònica.
15
20. DOCUMENT DE SEGURETAT
• Definició: Derivat de la Llei de Protecció de Dades és
l’instrument que defineix l’ús i les mesures de control de
l’accés a les dades de caràcter personal.
• Funció original: Definir els components i els processos
necessaris per acomplir amb la legislació vigent en l’àmbit de
la seguretat de les dades de caràcter personal, així com
definir els principals requisits de protecció dels mitjans físics
que continguin dades d’aquest caràcter.
• És un document que ha de ser reorientat: No s’ocupa de
documents!
20
21. DOCUMENT DE SEGURETAT
• Quadre de Responsabilitats: Comissió de Seguretat,
Administració de Seguretat de Dades, Responsable del
tractament de Dades, Servei d’Atenció a l’Usuari.
• Quadre de Riscos: Control i gestió de les anomenades
“incidències de seguretat i protecció de dades”, enteses,
com a qualsevol succés que provoqui o pugui provocar
tant una incidència del sistema (ja sigui de maquinari o
de programari) com una vulneració de la confidencialitat
i/o salvaguarda de les dades de caràcter personal.
21
22. DOCUMENT DE SEGURETAT
• Quadre de Mesures de Control: Necessitat d’un protocol
per a sol·licitar la consulta dels fitxers amb dades de
caràcter personal que ha estat regulat pel “Procediment
de petició interna de dades de caràcter personal.”
Manera en què es recolliran les dades i la manera en què
es gestionarà l’accés, la rectificació i la cancel·lació
d’aquestes, amb un protocol ben exposat i clar.
• Auditories: Manera en què s’executaran les auditories
pertinents de seguretat de dades.
22
23. ORGANIGRAMA ORGÀNIC
• Definició: Plantilla de treballador de l’ens i la
seva distribució en unitats administratives.
• Tipologies: orgànic o polític.
• Instrument informàtic de gestió: LDAP o
Active Directory.
23
24. ORGANIGRAMA FUNCIONAL
• Definició: Quadre de competències associades
a persones o unitats administratives.
• Instrument informàtic de gestió: LDAP o
Active Directory, o un Gestor Documental.
24
25. QUADRE DE CLASSIFICACIÓ
• Quadre de classificació corporatiu, amb
identificació clara de les categories físiques
d’aquest en sèries i subsèries.
• És l’instrument de permet associar mesures a
documents. Sense objecte d’aplicació, no hi
ha mesures possibles. Aquest era un dels
problemes del Document de Seguretat.
25
26. QUADRE DE SEGURETAT I ACCÉS
• Instrument que posa en relació les sèries i subsèries
d’un quadre de classificació, amb un esquema que
defineix el control d’accés i modificació dels
documents d’un sistema.
• Estableix una relació entre un règim d’accés, un
règim de seguretat i un règim de protecció de dades,
amb entitats documentals.
• Quadre de seguretat: control i responsabilitats.
• Quadre d’accés: restricció i informació.
26
29. RÈGIM DE SEGURETAT
• Règim de Seguretat: Conjunt de mesures
de control aplicades a uns agents que, en
funció de competències determinades,
consulten i fan documents a l’interior
d’un entorn de producció documental.
29
30. ELEMENTS CONSTITUTIUS
• Elements derivats de l’Organigrama orgànic i del funcional:
– Àrees funcionals d’usuaris.
– Grups funcionals d’usuaris.
• Elements derivats del Quadre de Classificació:
– Grups documentals de seguretat (Sèries i Subsèries).
• Elements derivats del Règim de Seguretat:
– Conjunt de Rols.
– Conjunt de Permisos.
– Conjunt d’Accions.
30
31. ÀREES FUNCIONALS D’USUARIS
• Definició: Conjunt de persones que
produeixen documents a l’interior d’una
unitat administrativa. Un departament, una
unitat, un grup de treball, etc. Hi ha un cap
visible que esdevé el responsable de l’àrea
funcional.
31
32. GRUPS FUNCIONALS D’USUARIS
• Definició: Conjunt de persones que a
l’interior d’una unitat administrativa realitzen
un seguit de funcions determinades. No cal un
cap visible com a grup.
32
33. GRUPS DOCUMENTALS DE
SEGURETAT
• Definició: Conjunt de documents als quals se’ls
apliquen un seguit de mesures de seguretat i
control d’accés.
• Tipologies: Sèries i Subsèries del Quadre de
Classificació Corporatiu. Sempre han de ser
categories físiques.
• Aclariment terminològic: Com a grups de
seguretat molts informàtics entenen els grups
d’usuaris!!!
33
34. CONJUNT DE ROLS
• Definició: Personalitat que adquireix cada
usuari a l’interior del sistema.
• Gestor Documental (Admin).
• Agent productor (Contributor).
• Convidat (Guest).
• Administrador de permisos (System Admin).
• Subadministrador de permisos (Sub-admin).
34
35. CONJUNT DE PERMISOS
• Definició: Possibilitats que té cada usuari dins
del sistema.
• Llegir (Read).
• Escriure i Modificar (Write).
• Esborrar i Eliminar (Delete).
• Administrar els permisos (Admin).
35
41. REGULAR L’ACCÉS?
• Decret 13/2008, de 22 de gener, sobre accés,
avaluació i tria de documents.
• Qualsevol iniciativa en relació a l’accés als
documents ha de ser comunicada a la
CNAATD.
41
42. RÈGIM D’ACCÉS
• Accés1
: El dret democràtic d’una persona a
accedir a una determinada informació.
• Règim d’Accés1
: Règim que regula el grau
d’accés a la informació que poden gaudir les
persones físiques i jurídiques.
42
43. RÈGIM D’ACCÉS
• Accés2
: La possibilitat o l’acció de disposar
d’una informació existent en un fitxer
(document electrònic).
• Règim d’Accés2
: Mesures de control de
seguretat.
43
44. RÈGIM D’ACCÉS
• Accessibilitat1
: Propietat essencial del
document determinada per la seva capacitat
per ser usable i disponible amb plena
integritat.
• Accessibilitat1.1
: La capacitat per ser usable i
disponible amb el mínim de barreres possibles
(adreçat a col·lectius amb minusvalies i
associat a entorns web).
44
45. ACCÉS SEGONS LA GESTIÓ DOCUMENTAL
Accés:
“En un context de gestió documental, l’accés és
la capacitat de poder cercar i usar
documentació i dades produïdes per un
organisme.”
45
46. ACCÉS SEGONS LA LEGISLACIÓ
• L’accés dels ciutadans a la documentació
pública és un dret reconegut a la Constitució i
regulat per la Llei 30/92 de Procediment
Administratiu i per la Llei 10/2007, d’Arxius i
Documents.
• La legislació deixa un ampli marge per a la
concreció de les bases que regulen l’accés als
documents.
46
47. PERMETRE L’ACCÉS
• Per tal de garantir un ús pertinent de la
documentació i la protecció de les dades que
aquesta conté cal establir uns criteris que
autoritzen o deneguin l’accés.
• Règim d’accés:
– Obert
– Restringit
– Restricció mediada a les dades i/o als documents
47
48. OBJECTIUS DEL QUADRE D’ACCÉS
• Associar a cada sèrie documental el Nivell de
Protecció de Dades.
• Definir per a cada fase del cicle de vida el
règim d’accés.
48
49. CONCEPTES CLAU
• Nivell de Protecció de Dades.
• Règim d’Accés als Documents.
• Terminis de restricció: fases d’arxiu.
• La reproducció de documents.
49
51. RÈGIM DE PROTECCIÓ DE DADES PERSONALS
• Dades personals: Dades que conjuntades amb
d’altres poden aportar informació relativa a la
intimitat i a altres aspectes relacionats amb
l’individu que requereixen una protecció especial
i no són de difusió lliure.
• Protecció: Especificació del Règim d’Accés1
i de
les mesures de control que cal aplicar en funció
de l’existència o no d’aquest tipus de dades.
51
52. NIVELL PROTECCIÓ DADES
• Llei Orgànica 15/1999 de Protecció de Dades
de Caràcter Personal.
• Determina el tipus de dades sobre els que cal
establir mesures de seguretat.
• Aplicar mesures de seguretat = Regular
l’accés.
52
53. NIVELL PROTECCIÓ DADES
• Bàsic:
o Tots els fitxers que contenen dades personals
• Mitjà:
o Infraccions administratives o penals
o Hisenda pública
o Serveis financers
o Dades d’avaluació de la personalitat
• Alt:
o Ideologia, afiliació sindical, creences, religió
o Origen racial, salut, vida sexual
o Fitxers policials amb dades obtingudes sense
consentiment
53
54. NIVELL PROTECCIÓ DADES
Dificultats per aplicar la llei:
• No descriu els nivells, només indica a quines
possibles dades pot fer referència.
• Parla de protecció de dades però no preveu
quines són les mesures de seguretat que cal
adoptar per a fer efectiva aquesta protecció.
• Fa referència a l’accés i protecció de fitxers de
dades, en cap cas a documents concrets ni a
tipologies documentals.
54
55. NIVELL PROTECCIÓ DADES
Fitxer:
“Conjunt organitzat de dades de caràcter
personal que permeti l’accés a les dades
d’acord amb uns criteris determinats, siga
quina siga la forma o modalitat de la seua
creació, emmagatzematge, organització i
accés.”
55
56. NIVELL PROTECCIÓ DADES
• Fitxer= unitat documental composta.
• Els fitxers i els Nivells de Protecció de Dades
associats es comuniquen a l’Agencia de
Protecció de Dades.
• En els casos en que un fitxer es correspon amb
una sèrie documental, s’ha associat el Nivell
de Protecció de Dades de manera directa.
56
57. NIVELL PROTECCIÓ DADES
• La majoria de sèries però, no tenen
correspondència amb cap fitxer.
• Per a aquestes sèries, s’ha associat el Nivell de
Protecció de Dades en base a l’anàlisi de les
dades què cada sèrie pot contenir.
57
59. RÈGIM D’ACCÉS
Per fases del cicle de vida:
• Es defineix en base al Nivell de Protecció de
Dades i a la legislació que l’afecta.
• En cap cas s’aplica a nivells conceptuals del
QdC, sinó sobre les categories físiques: sèries i
subsèries.
59
60. ACCÉS: FASE ACTIVA
• Per defecte, són restringits.
• Es regula pels articles 37/2-3 i 35 de la Llei
30/92 de Procediment Administratiu.
• Accés restringit als documents i a les dades
excepte a les persones interessades.
60
61. ACCÉS: FASE ACTIVA
• En el cas de contenir informació que
possibilite exercir drets a tercers que
acrediten interès legítim i directe aquests
també hi tindran accés.
• Els documents la funció dels quals és la seua
difusió, són públics i, per tant, accessibles des
del moment en què es creuen s’han definit
com oberts.
61
63. ACCÉS: FASE SEMIACTIVA
• Fase activa: 5 als 15 anys.
• Les sèries amb un NPD bàsic = Oberts.
• Excepte expedients nominals = Restringits.
• En aquest casos s’aplica l’article 36 de la Llei
10/2001 d’Arxius i Documents.
63
64. ACCÉS: FASE SEMIACTIVA
• Art. 36 de la Llei 10/2001 d’Arxius i
Documents
o Si no hi ha dades que afecten a l’honor, intimitat i
imatge de les persones, 30 anys
o Dades que afecten a l’honor, intimitat i imatge de
les persones:
oNomés amb el consentiment del titular
oSi és mort, 25 anys des de la mort
oSi no sabem la data de la mort, 50 anys des de la
producció del document
64
65. ACCÉS: FASE SEMIACTIVA
• Sèries amb un NPD mitjà i sense referència
legislativa:
o Oberts. Restricció mediada a les dades
o Protocol de mediació: objectiu de la consulta per
tal d’aplicar mesures de restricció determinades.
65
66. ACCÉS: FASE SEMIACTIVA
• Sèries amb un NPD mitjà i amb referència a
l’art. 36 LAD
o Restricció mediada a les dades i al document
o Protocol de mediació
oPetició per escrit
oConsentiment del titular
oSense consentiment, 25 o 50 anys
oPossibilitat d’accés garantint la preservació de les
dades.
66
67. ACCÉS: FASE SEMIACTIVA
• Sèries amb un NPD alt i sense referència
legislativa
o Obert. Restricció mediada a les dades
o Protocol de mediació
oPetició per escrit
oA criteri de l’arxiver valorar la sensibilitat de les dades
per aplicar mesures de restricció adients per l’accés al
document
oPossibilitat d’aplicar el 36?
67
68. ACCÉS: FASE SEMIACTIVA
• Sèries amb un NPD alt i amb referència a l’art.
36 LAD
o Restricció mediada a les dades i al document
o Protocol de mediació
oPetició per escrit
oConsentiment del titular
oSense consentiment, 25 o 50 anys.
68
73. REPRODUCCIÓ DE DOCUMENTS
• Fase activa i semiactiva: no hi ha reproducció?
• Fase inactiva:
o Documents amb drets d’autor: Llei 23/2006, Text
Refós de la Llei de Propietat Intel·lectual.
o Documents de domini públic: reproducció
controlada per aquells documents que, en fase
inactiva l’accés siga restringit.
73
75. PROBLEMES DEL MÈTODE
• NPD sovint excessius o massa bàsics.
• Dins d’una sèrie amb un NPD determinat
poden haver expedients i fins i tot documents,
amb un NPD diferent al de la resta de la sèrie.
75
76. PROBLEMES DEL MÈTODE
Qüestions per resoldre:
• Implantació del quadre en un gestor
documental.
• Sèries que es troben a les aplicacions
corporatives i altres sistemes d’informació.
76
77. PROBLEMES DEL MÈTODE
Reflexió:
A nivell d’accés en la majoria dels casos hi haurà
mediació, des del moment en què la
documentació s’ha de preparar per a servir
siga en paper o en format electrònic.
77