MENUAONARPENA ETA INDARREAN SARTZEA
Segurtasun Batzordeak onartutako testua, 2018ko apirilaren 12an.
Informazioaren Segurtasuneko Politika honek eragina izango du onartzen denetik hasi eta beste politika batek ordezkatu arte.
Indargabetuta geratzen dira Informazioaren Segurtasuneko Politika honetan ezarritakoaren kontrako maila bereko edo beheragoko xedapen guztiak.
LEGE ESPARRUA
Informazioaren Segurtasuneko Politika hau ondoren ageri diren lege eta errege dekretuetan xedatutakoaren arabera egin da:
- EUROPAKO PARLAMENTUAREN ETA KONTSEILUAREN 2016/679 ERREGELAMENDUA (EB), 2016ko apirilaren 27koa, pertsona fisikoak babesteari buruzkoa, datu pertsonalen tratamenduari eta datuen zirkulazio askeari dagokienez, eta 95/46/CE (Datuak Babesteko Erregelamendu Orokorra)
- 15/1999 Lege Organikoa, abenduaren 13koa, Datu Pertsonalak Babesteari buruzkoa.
- 1720/2007 Errege Dekretua, abenduaren 21ekoa, Datu Pertsonalak Babesteko abenduaren 13ko 15/1999 Lege Organikoaren garapeneko araudia onesten duena.
- 34/2002 Legea, uztailaren 11koa, Informazioaren Gizarteko eta Merkataritza Elektronikoko Zerbitzuei buruzkoa.
- 1/1996 Legegintzako Errege Dekretua, apirilaren 12koa, Jabetza Intelektualeko Legearen testu bategina onartu duena, gai horren inguruan indarrean zeuden xedapenak erregularizatu, argitu eta harmonizatu dituena.
- Unibertsitateari Segurtasun Politikan aplikagarri zaizkion arau orokor eta barne arau guztiak.
- Langileen Estatutua.
INFORMAZIOAREN SEGURTASUNEKO POLITIKAREN HELBURUA
Dokumentu honen helburua da Deustuko Unibertsitateko (aurrerantzean Deustu) Informazioaren Segurtasuneko Politika ezartzea, informazioko aktiboak egoki zaintzea eta zerbitzuak etengabe ematea bermatzeko; hartara, Deustu prest egon dadin segurtasuneko gertakariak aurreikusteko, antzemateko, erreakzionatzeko eta haietatik suspertzeko.
Horretarako, beharrezko segurtasun neurriak izan beharko ditu arrisku maila onargarria mantentzeko, zerbitzu emateko mailen etengabeko jarraipena egiteko, adierazitako kalteberatasunak aztertzeko, eta gertakariei erantzun eraginkorra emateko prest egoteko.
Deustuko informazio zerbitzuek beren funtzioak bete beharko dituzte eta informazioa zaindu beharko dute, bakoitzaren berariazko funtzionaltasunen arabera, etenik gabe edo kontrolik gabeko aldaketarik egin gabe, eta informazioa baimenik ez duten pertsonen ezaupidera heldu gabe.
Hortaz, Deustuko sareen eta informazio sistemen ahalmena behar den bestekoa izan behar da, galdagarri zaion fidagarritasun mailan, bilduta dauden edo transmititzen diren datuak eta bitarteko elektronikoetan erabiltzen diren zerbitzuen irisgarritasuna, eskuragarritasuna, benetakotasuna, fidagarritasuna, trazabilitatea eta zaintza arriskuan jar dezaketen istripu edo legez kontrako edo asmo txarreko ekintzei kontra egiteko.
Deustuk ziurtatu behar du IKTen segurtasuna informazio sistemen bizi zikloko etapetako bakoitzaren parte dela, sorreratik hasi eta zerbitzutik kendu arte, garapen edo eskuratzeko erabakia eta uztiapen jarduerak ahaztu gabe. Etapa bakoitzeko segurtasun eskakizunak eta finantzazio beharrak identifikatu eta plangintzan txertatu behar dira, eskaintzen eskaeran, eta IKT proiektuen lizitaziorako agirietan.
Informazioaren Segurtasuneko Politika honetan aurreikusitakoa eta Unibertsitateak eskatzen duen segurtasun maila betetzeko, Informazioaren Segurtasuneko Batzordeak txosten bat egingo du urtero. Bertan agertuko dira zehaztuta, arriskuen kudeaketako printzipioaren arabera, Batzordeak onartu dituen segurtasun neurriak eta hurrengo ekitaldi ekonomikoan ezarri beharrekoak, ezinbestekotzat jotzen direlako. Horrez gain, Batzordeak komenigarri ikusi eta diseinatu dituen segurtasun estrategia bultzatzeko neurriak ere barruan sartuko dira
APLIKAZIO EREMUA
Informazioaren Segurtasuneko Politika honen eta garatzen duen araudiaren arabera, Deustuko zerbitzu, sistema eta gainerako IKT baliabideei aplikatuko zaizkien segurtasun neurri batzuk definituko dira, arau horietan zehazten den bezala, prozesuei eusteko eta euretako informazioko aktiboei eragiteko.
Deustuko IKT baliabideen helburua da irakaskuntzaren, ikerketaren eta kudeaketako eginkizunen euskarri izatea, Unibertsitateak egoki funtzionatzeko.
Deustuko IKT baliabideak hauek dira: sistema orokorrak eta sailetarako guztiak, lan-estazioak, postuko ordenagailuak, inprimagailuak eta beste periferiko batzuk eta irteerako gailuak, lokalizazio sistemak, barne eta kanpo sareak, erabiltzaile ugariko sistemak eta komunikazio sistemak (ahotsaren, irudien, datuen edo dokumentuen transmisio telematikoa) eta bere jabetzako biltegiratzeko sistemak.
Politika hori aplikatzen zaie pertsona, instituzio, erakunde edo unitate eta zerbitzu guztiei, barruko nahiz kanpokoei, Deustuko IKT baliabideak erabiltzen dituztenei, baliabide horiekin zuzenean edo zeharka konektatzen direnei eta, urrutiko konexio bidez edo bertakoak ez diren ekipoen bidez, Internet bidez ematen diren zerbitzuak espresubi barnean hartzen dira. Aurrerantzean, subjektu horiek ere “erabiltzaile" izango dira.
SEGURTASUNEKO OINARRIZKO PRINTZIPIOAK
Deustuko Informazioaren Segurtasuneko Politika hau, eta garatzen duen araudia, babeseko oinarrizko printzipioetan daude oinarrituta. Printzipio horien helburua da erakunde batek bere helburuak beteko dituela ziurtatzea, informazio sistemak erabiliz.
Oinarrizko printzipio horiek, informazioaren segurtasuneko erabakiak hartzean kontuan hartu beharko direnak, hauek dira:
a) Erabateko segurtasuna.
Segurtasuna prozesu osotzat hartu behar da, sistemarekin zerikusia duten giza, teknika, material eta antolaketako elementu guztiak hartuta.
b) Arriskuen kudeaketa.
Arriskuen analisia eta arriskuen kudeaketa segurtasun prozesuaren funtsezko atala da. Arrisku mailak gutxieneko onargarrien barruan mantendu behar dira, egoki diren segurtasun neurriak ezarri eta etengabe eguneratuta, oreka eta proportzionaltasuna izan dadin datuen izaeraren eta egindako tratamenduen artean, arriskuen eta aplikatutako segurtasun neurrien artean.
c) Prebentzioa eta hondamendietan sistemak eta datuak errekuperatzea.
Sistemaren segurtasunak kontuan hartu behar ditu prebentzio, antzemate eta errekuperazio arloak, sistemaren kontrako meatxuak gauzatu ez daitezen edo informazio sistemetan edo ematen diren zerbitzuetan dauden datuei kalte larririk gerta ez dakien.Sistemak bermatuko du datuak eta informazioak euskarri elektronikoan zaintzea, eta eskuragarri izango ditu zerbitzu guztiak informazio digitalaren bizi ziklo osoan zehar.
d) Defentsak.
Sistemak babesteko estrategia izan behar du, zenbait segurtasun geruzaz osatua. Saihestu ezineko arrazoiren bategatik batek huts egiten badu, erantzun egokia emateko denbora izateko eta sistema bere osoan arriskuan ez egoteko eta eragina ahalik eta txikiena izateko moduan egongo dira jarrita geruza horiek.
Defentsa lerroak antolaketa, fisika eta logika neurriek osatu behar dituzte.
e) Aldian behin berrebaluatzea.
Deustuk hartutako segurtasun neurriak aldian behin berriro ebaluatu eta eguneratuko dira, eraginkortasuna arriskuen eta babes sistemen etengabeko bilakaerara egokitzeko.
SEGURTASUNAREN ANTOLAKETA
Bizitza ziklo osoko etapetan informazioaren babesa egoki egiten dela eta erantzukizunak egoki esleituta daudela bermatzeko, Deustuk egitura bat ezarri du, honako politika hau funtsez egin dadin sustatzeko eta maiz gertatzen diren teknologia eta antolaketa aldaketetara eraginkortasunez moldatzeko.
Hori hala egiteko, batzorde eta rol batzuk definitu dira, informazioaren segurtasunaren kudeaketa eta ikuskaritzarekin lotuta:
- Informazioaren Segurtasuneko Batzordea.
- Ikasketen Antolamenduko, Irakaskuntzaren Berrikuntzako eta Kalitateko Errektoreordetza, IKTen eta Kalitatearen arduradun den aldetik.
- Informatika Zerbitzua.
- Datuak Babesteko ordezkaria (Data Protection Officer, DPO) / Informazioaren Segurtasuneko arduraduna.
DATU PERTSONALAK
Deustuk datu pertsonalak erabiltzen ditu tratamenduak egiteko.
Deustuko Tratamenduko Jardueren Erregistroak jasotzen du zer tratamendu egin den eta nortzuk diren arduradunak.
Deustuko informazio sistema guztiak doituko dira segurtasuneko dokumentuan jaso diren datu pertsonalen izaera eta helbururako arauz eskatzen diren segurtasun neurrietara.
INFORMAZIORA SARTZEA
Deustuko sarbide publikokoa ez den informazioa tratatzen dutenek behar den bezala identifikatuta egon behar dute eta eginkizuna betetzeko behar-beharrezkoa den informaziora sartzeko pribilejioak izango dituzte.
Hori dela eta, informazio sistemetarako sarbidea kontrolatuta eta mugatuta egon behar da, baimena duten erabiltzaile, prozesu gailu eta inforamzio sistemetara. Horregatik, sartzeko bidea baimendutako funtzioetara egongo da soil-soilik mugatuta.
SEGURTASUNEKO GERTAKARIEN KUDEAKETA
Informazioaren Teknologien Sailak segurtasuneko gertakarien aurrean erantzuteko zerbitzu bat izan behar du (CERT), informazio sistema bakoitzari eskatzen zaion segurtasun neurri bakoitza ezartzeko eta kudeatzeko eta gertatzen diren segurtasuneko gertakariei erantzuteko hornituta.
Zerbitzu horrek egoki iruditzen zaizkion segurtasuneko auditoretzak egingo ditu, Unibertsitateko sarera konektatutako edozein ekipotan; eta Deustuko gainerako informazio sistemetarako arrisku potentziala edo erreala antzematen badu, deskonektatu edo isolatu egingo du ekipo hori.
Segurtasuneko gertakariak sistemaren arduradun edo administratzaileak antzematen ditu, CERT zerbitzuaren ikuskaritza edo alarma edo Deustutik kanpoko jakinarazpenen bidez. Erabiltzaileak Artatzeko Zentroaren eskabideen kudeaketan zentralizatu behar da identifikatutako gorabeheren bilketa, analisia eta kudeaketa.
Era berean, edozein erabiltzailek eman behar dio Erabiltzaileak Artatzeko Zentroari informazioaren segurtasunarekin eta honako politika honetan jasota dauden jarraibideetan jasotako gertakarien, iradokizunen eta/edo ahultasunen berri.
ARRISKUEN KUDEAKETA
Segurtasun arloko erabakiek arriskuen azterketan eta kudeaketan egon behar dute oinarrituta, segurtasuneko funtsezko prozesu diren aldetik, eta eguneratuta egon behar dute beti.
Arriskuen ebaluazioak meatxuak eta kalteberatasunak identifikatzen ditu, eta behar bezain zabala izan behar du barneko eta kanpoko faktore nagusiak barruan jasotzeko: teknologikoak, fisikoak eta giza faktoreak, politikoak eta segurtasunean eraginak izan ditzaketen hirugarrenen zerbitzuak.
Arriskuen kudeaketari esker, ingurua kontrolatuta mantenduko da eta arriskuak maila onargarrietara murriztuta egongo dira. Maila horiek murrizteko, segurtasun neurriak hedatuko dira eta oreka bat egongo da datuen izaeraren eta tratamenduaren, arriskuen eta segurtasun neurrien artean.
Informazio sistemak elkarren artean gero eta lotuago daudenez, arriskuen ebaluazioan kontuan hartu behar dira beste batzuengandik etorri edo hirugarrenek eragin ditzaketen kalteak.
Politika honi lotuta dauden sistema guztiek izango dute arriskuen analisia, eta zer meatxu eta arrisku izan dezaketen ebaluatuko da.
erabiltzaileen betebeharrak
Deustuko kide guztiek dute Informazioaren Segurtasuneko Politika eta berau garatzen duen Segurtasuneko Araudia ezagutu eta bete beharra. Eta Informazioaren Segurtasuneko Batzordeari dagokio informazioa kaltetuen esku jartzeko bitartekoak izatea ere.
Unibertsitateko langile guztiek jabetu behar dute informazio sistemen segurtasuna bermatzea beharrezkoa dela, eta eurak direla segurtasuna mantentzeko eta hobetzeko funtsezko parte.
Etengabe kontzientziatzeko programa bat ezarriko da, Deustuko kide guztiak artatzeko, batez ere erakundean sartu berri direnak.
IKT sistemaren erabileran, operazioan eta administrazioan erantzukizuna dutenek prestakuntza jasoko dute sistemak segurtasunez erabiltzeko, lanerako behar duten neurrian.
HIRUGARRENEKIKO HARREMANA
Deustuk beste erakunde batzuei zerbitzuak ematen badizkie edo haien informazioa erabiltzen badu, harreman horren arduradunak jakinaraziko die segurtasun politika honen berri eta bertatik eratorritako arau eta jarraibideen berri.
Erakundeen Informazioaren Segurtasuneko Batzordeen artean komunikazio eta koordinazioko bideak sortuko dira, eta segurtasun gorabeheretan jokatzeko prozedurak ezarriko dituzte.
Halaber, Deustuk hirugarrenen zerbitzuak erabiltzen baditu edo hirugarrenei informazioa lagatzen badie, harreman horren arduradunak jakinaraziko die segurtasun politika honen eta zerbitzu edo informazio horiei dagozkien segurtasuneko arau eta jarraibideen berri. Hirugarren hori arau eta jarraibide hauetan ezarritako betebehar eta segurtasun neurrietara loturik egongo da, eta neurri horiek betetzeko prozedura operatibo propioak garatu ahal izango ditu. Gertakarien prebentzio, antzemate, jakinarazte eta konponbiderako berariazko prozedurak ezarriko dira. Bermatu egingo da hirugarren erakunde horietako langileak segurtasun arloan kontzientziatuta egotea, segurtasuneko politika honetan ezarritako mailan gutxienez.
Zehazki, hirugarrenek bermatu egin beharko dute segurtasun politikak bete egiten dituztela, auditatu daitezkeen estandarretan oinarriturik, eta politika horiek betetzen dituztela ziurtatzeko hirugarrenen kontrolak eta berrikusketak pasatu beharko dituzte. Horrekin batera, bermatu egingo da, ikuskaritza edo deuseztatze eta ezabatze ziurtagiriaren bidez, hirugarrenak baliogabetu eta kendu egiten dituela Deustuko datuak kontratua bukatzen denean.
Segurtasun politikaren arloren bat hirugarrenak bete ezin badu, Informazioaren Segurtasuneko arduradunaren txosten bat beharko da, zein arriskutan sartzen diren eta zelan tratatu adierazten duena. Txosten hori Informazioaren Segurtasuneko Batzordeak onartu beharko du aurrera jarraitu aurretik.