Conselleria dHisenda i Administraci Pblica Consellera de Hacienda y Administracin Pblica
ORDE 19/2013, de 3 de desembre, de la Conselleria dHi-
senda i Administraci Pblica, per la qual sestablixen les normes sobre ls segur de mitjans tecnolgics en lAdmi- nistraci de la Generalitat. [2013/11767] ORDEN 19/2013, de 3 de diciembre, de la Consellera de Hacienda y Administracin Pblica, por la que se estable- ce las normas sobre el uso seguro de medios tecnolgicos en la Administracin de la Generalitat. [2013/11767] PREMBUL La informaci constitux un actiu de primer orde per a la Generali- tat des del moment que resulta essencial per a la prestaci de gran part dels seus servicis. Daltra banda, les tecnologies de la informaci i les comunicacions shan fet cada vegada ms imprescindibles per a les administracions pbliques. No obstant aix, les indiscutibles millores que aporten al tractament de la informaci van acompanyades de nous riscos i, per tant, s necessari introduir mesures especfiques per a pro- tegir tant la informaci com els servicis que en depenguen. La seguretat de la informaci t com a objectiu protegir la informa- ci tractada i els servicis que es presten, reduint els riscos a qu estan sotmesos fins a un nivell que resulte acceptable. Dins de cada organitza- ci noms els seus mxims directius tenen les competncies necessries per a fixar este nivell, ordenar les actuacions i habilitar els mitjans per a dur-les a terme. En aplicaci del Reial Decret 3/2010, pel qual es regula lEsquema Nacional de Seguretat en lmbit de lAdministraci electrnica, lAd- ministraci de la Generalitat i de les seues entitats autnomes han de protegir la informaci i els servicis utilitzats en mitjans electrnics que gestionen en lexercici de les seues competncies. Per a aix han das- segurar la integritat, la disponibilitat, lautenticitat, la confidencialitat, la traabilitat i la conservaci de les dades, les informacions i els servicis utilitzats en els mitjans tecnolgics que gestionen en lexercici de les seues competncies. El Decret 66/2012, de 27 dabril, del Consell, pel qual sestablix la poltica de seguretat de la informaci de la Generalitat en lmbit de lAdministraci de la Generalitat i de les seues entitats autnomes, indi- ca que la poltica es desenrotllar en un conjunt de documents lobjectiu dels quals s facilitar que el tractament dinformaci es realitze dacord amb els objectius i principis que shi exposen, i que estos sagruparan en tres colleccions: normes, procediments i guies de bones prctiques. Les normes proporcionaran un primer nivell de concreci; cada una estar dirigida a un tipus dactivitat determinat. Els procediments descriuran la seqncia concreta de passos per a completar una tasca. Les guies de bones prctiques oferiran recomanacions sobre com actuar en situacions especfiques. Les normes i els procediments tindran carcter obligatori. Lobjecte desta disposici s regular la norma ds segur dels mit- jans tecnolgics que formen part dels sistemes dinformaci de lAd- ministraci de la Generalitat, a fi de minimitzar la probabilitat de la materialitzaci de les amenaces que posen en risc la seguretat dels sis- temes dinformaci. El Decret 130/2012, de 24 dagost, del Consell, pel qual sestablix lorganitzaci de la seguretat de la informaci de la Generalitat, assigna el repartiment de funcions i responsabilitats en matria de seguretat de la informaci aplicable a les conselleries de la Generalitat, aix com a les seues entitats autnomes dependents. LOrde 9/2012, de 10 de juliol, de la Conselleria de Sanitat, per la qual sestablix lorganitzaci de la seguretat de la informaci, fa un repartiment efectiu de tasques i responsabilitats per al manteniment i la millora de la seguretat de la informaci en la Conselleria de Sanitat. Per aix, i en virtut de les facultats que em conferix larticle 28 de la Llei 5/1983, de 30 de desembre, del Consell, i la disposici final pri- mera del Decret 66/2012, de 27 dabril, del Consell, pel qual sestablix la poltica de seguretat de la informaci de la Generalitat, ORDENE CAPTOL I Disposicions preliminars Article 1. Objecte Esta orde t per objecte regular la norma ds segur dels mitjans tecnolgics que formen part dels sistemes dinformaci de lAdminis- PREMBULO La informacin constituye un activo de primer orden para la Genera- litat desde el momento en que resulta esencial para la prestacin de gran parte de sus servicios. Por otro lado las tecnologas de la informacin y las comunicaciones se han hecho cada vez ms imprescindibles para las administraciones pblicas. Sin embargo, las indiscutibles mejoras que aportan al tratamiento de la informacin vienen acompaadas de nuevos riesgos, y por lo tanto es necesario introducir medidas especficas para proteger tanto la informacin como los servicios que dependan de ella. La seguridad de la informacin tiene como objetivo proteger la informacin tratada y los servicios que se prestan, reduciendo los riesgos a los que estn sometidos hasta un nivel que resulte aceptable. Dentro de cada organizacin solo sus mximos directivos tienen las competencias necesarias para fijar dicho nivel, ordenar las actuaciones y habilitar los medios para llevarlas a cabo. En aplicacin del Real Decreto 3/2010, por el que se regula el Esquema Nacional de Seguridad en el mbito de la Administracin Electrnica, la Administracin de la Generalitat y de sus entidades autnomas deben proteger la informacin y los servicios utilizados en medios electrnicos que gestionen en el ejercicio de sus competencias. Para ello deben asegurar la integridad, disponibilidad, autenticidad, con- fidencialidad, trazabilidad y conservacin de los datos, informaciones y servicios utilizados en los medios tecnolgicos que gestionen en el ejercicio de sus competencias. El Decreto 66/2012, de 27 de abril, del Consell, por el que se esta- blece la poltica de seguridad de la informacin de la Generalitat, en el mbito de la Administracin de la Generalitat y de sus entidades aut- nomas, indica que la poltica se desarrollar en un conjunto de docu- mentos cuyo objetivo es facilitar que el tratamiento de informacin se realice de acuerdo con los objetivos y principios expuestos en la misma; y que estos se agruparn en tres colecciones: normas, procedimientos y guas de buenas prcticas. Las normas proporcionarn un primer nivel de concrecin; cada una de ellas estar dirigida a un tipo de actividad determinado. Los procedimientos describirn la secuencia concreta de pasos para completar una tarea. Las guas de buenas prcticas ofrecern recomendaciones sobre cmo actuar en situaciones especficas. Las normas y procedimientos tendrn carcter obligatorio. El objeto de la presente disposicin es regular la norma de uso segu- ro de los medios tecnolgicos que forman parte de los sistemas de infor- macin de la Administracin de la Generalitat, con el fin de minimizar la probabilidad de la materializacin de las amenazas que ponen en riesgo la seguridad de los sistemas de informacin. El Decreto 130/2012, de 24 de agosto, del Consell, por el que se establece la organizacin de la seguridad de la informacin de la Gene- ralitat, asigna el reparto de funciones y responsabilidades en materia de seguridad de la informacin, aplicable a las conselleras de la Generali- tat, as como a sus entidades autnomas dependientes. La Orden 9/2012, de 10 de julio, de la Consellera de Sanidad, por la que establece la organizacin de la seguridad de la informacin, hace un reparto efectivo de tareas y responsabilidades para el mantenimiento y mejora de la seguridad de la informacin en la Consellera de Sanidad. Por ello, y en virtud de las facultades que me confiere el artculo 28 de la Ley 5/1983, de 30 de diciembre, del Consell y la Disposicin Final Primera del Decreto 66/2012, de 27 de abril, del Consell, por el que se establece la poltica de seguridad de la informacin de la Generalitat, ORDENO CAPTULO I Disposiciones preliminares Artculo 1. Objeto La presente orden tiene por objeto regular la norma de uso seguro de los medios tecnolgicos que forman parte de los sistemas de infor- Num. 7169 / 10.12.2013 35063 macin de la Administracin de la Generalitat, con el fin de minimizar la probabilidad de la materializacin de las amenazas que ponen en riesgo la seguridad de los sistemas de informacin. Artculo 2. mbito de aplicacin 1. En el mbito de la presente normativa, se entiende por usuario a cualquier persona que utilice o posea acceso a los medios tecnolgicos puestos a su disposicin por la Administracin de la Generalitat. 2. Las normas enunciadas en la presente orden sern de obligado cumplimiento para todos los usuarios definidos en el punto anterior. 3. Sus contenidos desarrollan las directrices de carcter general defi- nidas en la poltica de seguridad de la informacin, teniendo en cuenta que se podrn definir normas restrictivas en ciertos mbitos especficos que lo precisen. Artculo 3. Principio general de actuacin La seguridad de la informacin depende de todas las personas que participan en su tratamiento y compromete a todas las que integran la organizacin. Todos los usuarios se comprometen a hacer un uso correc- to de todos los activos que requieran para el desarrollo de sus funciones, a respetar las medidas de seguridad que se establezcan y a notificar lo antes posible a los responsables que corresponda de los eventos y pun- tos dbiles de la seguridad de la informacin que detecten, de manera que puedan emprenderse las acciones oportunas. Artculo 4. Definiciones A los efectos previstos en esta orden, las definiciones, palabras, expresiones, y trminos han de ser entendidos en el sentido indicado en la normativa de proteccin de datos de carcter personal, en el esquema nacional de seguridad y en el glosario incluido en el Anexo. CAPTULO II Normas generales Artculo 5. Tratamiento de la informacin 1. La Administracin de la Generalitat ser responsable del trata- miento de la informacin en cualquier medio tecnolgico que forme parte de sus sistemas de informacin y redes de comunicaciones, y adoptar las medidas de ndole tcnica y organizativas necesarias que garanticen la seguridad de los datos. 2. Quienes por razn del ejercicio de sus funciones accedan a infor- macin que no sea de acceso pblico, debern observar la necesaria reserva, confidencialidad y sigilo, incluso despus de haber cesado en sus funciones o finalizado la relacin contractual o laboral. 3. Quienes traten informacin que no haya sido clasificada de acce- so pblico, debern estar debidamente identificados y tener los privi- legios de acceso a la informacin estrictamente imprescindibles para desempear su cometido. 4. Queda prohibido, asimismo, transmitir o alojar informacin pro- pia de la Administracin de la Generalitat en sistemas de informacin externos, salvo autorizacin expresa del organismo responsable del tra- tamiento de la informacin, que comprobar la inexistencia de trabas legales para ello y verificar la suscripcin de un contrato expreso entre la Administracin de la Generalitat y la empresa responsable de la pres- tacin del servicio, incluyendo los acuerdos de nivel de servicio que procedan, el correspondiente acuerdo de confidencialidad, y siempre previo anlisis de los riesgos asociados a tal externalizacin. Artculo 6. Propiedad y uso de los medios tecnolgicos 1. Todos los medios tecnolgicos puestos a disposicin de los usua- rios: ordenadores personales y porttiles, aplicaciones, programas, sis- temas de impresin y escaneo de documentos, dispositivos mviles, el acceso a la red corporativa y a internet, son propiedad de la Adminis- tracin de la Generalitat. 2. La Administracin de la Generalitat le proporcionar a cada usua- rio un puesto de trabajo con los medios tecnolgicos necesarios para el desempeo de las funciones encomendadas. 3. Dichos medios no estn destinados al uso personal, y no podrn utilizarse para actividades ilcitas o irregulares, o que afecten negativa- mente al funcionamiento de la Administracin de la Generalitat o sean contrarias a los intereses de esta. traci de la Generalitat, a fi de minimitzar la probabilitat de la materi- alitzaci de les amenaces que posen en risc la seguretat dels sistemes dinformaci. Article 2. mbit daplicaci 1. En lmbit desta normativa, sentn per usuari qualsevol persona que utilitze o possesca accs als mitjans tecnolgics posats a la seua disposici per lAdministraci de la Generalitat. 2. Les normes enunciades en esta orde seran de compliment obliga- tori per a tots els usuaris definits en el punt anterior. 3. Els seus continguts desenrotllen les directrius de carcter general definides en la poltica de seguretat de la informaci, tenint en compte que es podran definir normes restrictives en certs mbits especfics que ho requerisquen. Article 3. Principi general dactuaci La seguretat de la informaci depn de totes les persones que parti- cipen en el seu tractament i compromet a totes les que integren lorga- nitzaci. Tots els usuaris es comprometen a fer un s correcte de tots els actius que requerisquen per al desenrotllament de les seues funcions, a respectar les mesures de seguretat que sestablisquen i a notificar com ms prompte millor als responsables que corresponga els esdeveniments i punts dbils de la seguretat de la informaci que detecten, de manera que puguen emprendres les accions oportunes. Article 4. Definicions Als efectes previstos en esta orde, les definicions, paraules, expres- sions i termes han de ser entesos en el sentit indicat en la normativa de protecci de dades de carcter personal, en lesquema nacional de seguretat i en el glossari incls en lannex. CAPTOL II Normes generals Article 5. Tractament de la informaci 1. LAdministraci de la Generalitat ser responsable del tractament de la informaci en qualsevol mitj tecnolgic que forme part dels seus sistemes dinformaci i xarxes de comunicacions, i adoptar les mesu- res dndole tcnica i organitzatives necessries que garantisquen la seguretat de les dades. 2. Els qui per ra de lexercici de les seues funcions accedisquen a informaci que no siga daccs pblic hauran dobservar la necess- ria reserva, confidencialitat i sigil, incls desprs dhaver cessat en les seues funcions o finalitzat la relaci contractual o laboral. 3. Els qui tracten informaci que no haja sigut classificada dac- cs pblic hauran destar degudament identificats i tindre els privilegis daccs a la informaci estrictament imprescindibles per a exercir la seua comesa. 4. Queda prohibit, aix mateix, transmetre o allotjar informaci prpia de lAdministraci de la Generalitat en sistemes dinformaci externs, excepte autoritzaci expressa de lorganisme responsable del tractament de la informaci, que comprovar la inexistncia de traves legals per a aix i verificar la subscripci dun contracte exprs entre lAdministraci de la Generalitat i lempresa responsable de la prestaci del servici, incloent-hi els acords de nivell de servici que siguen proce- dents, lacord de confidencialitat corresponent i sempre amb lanlisi prvia dels riscos associats a tal externalitzaci. Article 6. Propietat i s dels mitjans tecnolgics 1. Tots els mitjans tecnolgics posats a disposici dels usuaris: ordi- nadors personals i porttils, aplicacions, programes, sistemes dimpres- si i escaneig de documents, dispositius mbils, laccs a la xarxa cor- porativa i a Internet sn propietat de lAdministraci de la Generalitat. 2. LAdministraci de la Generalitat proporcionar a cada usuari un lloc de treball amb els mitjans tecnolgics necessaris per a lexercici de les funcions encomanades. 3. Estos mitjans no estan destinats a ls personal, i no podran utilit- zar-se per a activitats illcites o irregulars, o que afecten negativament el funcionament de lAdministraci de la Generalitat o siguen contrries als interessos desta. Num. 7169 / 10.12.2013 35064 4. Est prohibido alterar, sin la debida autorizacin, cualquiera de los componentes fsicos o lgicos de los medios tecnolgicos, salvo autorizacin expresa del organismo con competencias en tecnologas de la informacin. En todo caso, estas operaciones solo podrn realizarse por el personal de soporte tcnico autorizado. 5. La instalacin, utilizacin o conexin a la red corporativa de cualquier medio tecnolgico ajeno, requerir una autorizacin previa por parte del rgano competente en materia de tecnologas de la infor- macin que corresponda. 6. Est estrictamente prohibida la ejecucin de programas inform- ticos en los medios tecnolgicos que forman parte de los sistemas de informacin de la Administracin de la Generalitat sin la correspon- diente licencia de uso y autorizacin correspondiente del organismo con competencias en tecnologas de la informacin. 7. Est terminantemente prohibida toda transmisin, distribucin o almacenamiento de cualquier material obsceno, difamatorio, amena- zador o que constituya un atentado contra la dignidad de las personas. Artculo 7. Identificacin de acceso 1. La identificacin de acceso a cualquier medio tecnolgico ser personal e intransferible, permitiendo una identificacin individual. 2. Los usuarios deben custodiar convenientemente su identificacin de acceso, son responsables de toda la actividad relacionada con el uso de su acceso personal autorizado, y en ningn caso podr ser suminis- trada a terceras personas. 3. Si un usuario tiene sospechas de que su identificacin de acceso est siendo utilizada por otra persona, deber comunicar inmediatamen- te al organismo con competencias en tecnologas de la informacin la correspondiente incidencia de seguridad. 4. Los usuarios deben utilizar contraseas seguras de acuerdo con la poltica de contraseas definida por el rgano con competencias en materia de tecnologas de la informacin. Artculo 8. Notificacin de incidencias 1. Una incidencia de seguridad en un sistema, la constituye cual- quier situacin o eventualidad en la que pueda verse amenazada la informacin, y pueda en consecuencia dar lugar a una prdida de: con- fidencialidad, integridad, disponibilidad y autenticidad. 2. Todos los usuarios estn obligados a notificar cualquier inciden- cia de seguridad a travs del procedimiento establecido a tal efecto. Artculo 9. Implantacin de medidas tcnicas El personal que realiza funciones en materia de tecnologas de la informacin, adoptar las medidas tcnicas adecuadas al nivel de segu- ridad establecido para cada tratamiento de la informacin y en la pres- tacin de los servicios, por el responsable designado en la organizacin de la seguridad. Artculo 10. Borrado y destruccin de soportes de informacin 1. Se destruirn de forma segura los soportes de informacin que vayan a ser desechados. 2. Los soportes de informacin que vayan a ser reutilizados para otra informacin o liberados a otra organizacin sern objeto de un borrado seguro de su anterior contenido. Artculo 11. Inspeccin de los medios tecnolgicos El rgano competente en materia de tecnologas de la informacin establecer por razones especficas de seguridad o de evaluacin del desempeo, medidas de control y comprobar mediante los mecanis- mos formales y tcnicos que estime oportunos, la correcta utilizacin por parte de los usuarios de todos los medios tecnolgicos puestos a su disposicin para el desempeo de sus funciones. Estos controles y revi- siones se realizarn respetando los principios de necesidad, idoneidad y proporcionalidad, preservando las garantas del derecho a la intimidad del usuario y la seguridad de las comunicaciones. Artculo 12. Cese de actividad 1. El cese de actividad de cualquier usuario debe ser comunicado de forma inmediata al organismo con competencias en tecnologas de la informacin. 4. Est prohibit alterar, sense la deguda autoritzaci, qualsevol dels components fsics o lgics dels mitjans tecnolgics, excepte autorit- zaci expressa de lorganisme amb competncies en tecnologies de la informaci. En tot cas, estes operacions noms podran realitzar-se pel personal de suport tcnic autoritzat. 5. La installaci, utilitzaci o connexi a la xarxa corporativa de qualsevol mitj tecnolgic ali requerir una autoritzaci prvia per part de lrgan competent en matria de tecnologies de la informaci que corresponga. 6. Est estrictament prohibida lexecuci de programes informtics en els mitjans tecnolgics que formen part dels sistemes dinformaci de lAdministraci de la Generalitat sense la llicncia ds i autoritzaci corresponents de lorganisme amb competncies en tecnologies de la informaci. 7. Est terminantment prohibida tota transmissi, distribuci o emmagatzematge de qualsevol material obsc, difamatori, amenaador o que constitusca un atemptat contra la dignitat de les persones. Article 7. Identificaci daccs 1. La identificaci daccs a qualsevol mitj tecnolgic ser perso- nal i intransferible, i permetr una identificaci individual. 2. Els usuaris han de custodiar convenientment la seua identificaci daccs, sn responsables de tota lactivitat relacionada amb ls del seu accs personal autoritzat i en cap cas podr ser subministrada a terceres persones. 3. Si un usuari t sospites que la seua identificaci daccs est sent utilitzada per una altra persona, haur de comunicar immediatament a lorganisme amb competncies en tecnologies de la informaci la inci- dncia de seguretat corresponent. 4. Els usuaris han dutilitzar contrasenyes segures dacord amb la poltica de contrasenyes definida per lrgan amb competncies en matria de tecnologies de la informaci. Article 8. Notificaci dincidncies 1. Constitux una incidncia de seguretat en un sistema qualsevol situaci o eventualitat en qu puga veures amenaada la informaci i puga, en conseqncia, donar lloc a una prdua de confidencialitat, integritat, disponibilitat i autenticitat. 2. Tots els usuaris estan obligats a notificar qualsevol incidncia de seguretat a travs del procediment establit a este efecte. Article 9. Implantaci de mesures tcniques El personal que realitza funcions en matria de tecnologies de la informaci adoptar les mesures tcniques adequades al nivell de segu- retat establit per a cada tractament de la informaci i en la prestaci dels servicis, pel responsable designat en lorganitzaci de la seguretat. Article 10. Esborrament i destrucci de suports dinformaci 1. Es destruiran de forma segura els suports dinformaci que hagen de ser rebutjats. 2. Els suports dinformaci que hagen de ser reutilitzats per a una altra informaci o lliurats a una altra organitzaci seran objecte dun esborrament segur del seu contingut anterior. Article 11. Inspecci dels mitjans tecnolgics Lrgan competent en matria de tecnologies de la informaci esta- blir, per raons especfiques de seguretat o davaluaci de lexercici, mesures de control i comprovar, per mitj dels mecanismes formals i tcnics que crega oportuns, la utilitzaci correcta per part dels usuaris de tots els mitjans tecnolgics posats a la seua disposici per a lexercici de les seues funcions. Estos controls i revisions es realitzaran respectant els principis de necessitat, idonetat i proporcionalitat, preservant les garan- ties del dret a la intimitat de lusuari i la seguretat de les comunicacions. Article 12. Cessament dactivitat 1. El cessament dactivitat de qualsevol usuari ha de ser comunicat de forma immediata a lorganisme amb competncies en tecnologies de la informaci. Num. 7169 / 10.12.2013 35065 2. Cuando se modifiquen las circunstancias profesionales que ori- ginaron la entrega de un medio tecnolgico, el usuario lo devolver al organismo con competencias en tecnologas de la informacin, al objeto de proceder al borrado seguro de la informacin almacenada y restaurar el equipo a su estado original para que pueda ser asignado a un nuevo usuario. Artculo 13. Copias de seguridad La copia de seguridad peridica de los datos alojados en los servi- dores corporativos es responsabilidad del rgano competente en materia de tecnologas de la informacin. Cada usuario ser responsable de la integridad y copia de seguridad de la informacin almacenada en el medio tecnolgico que tenga asignado. Artculo 14. Acceso desde el exterior Slo est permitido acceder desde el exterior de la RCGVA (Red Corporativa de la Generalitat Valenciana) a recursos internos cuando se siga el procedimiento aprobado a tal efecto por el rgano con compe- tencias en materia de tecnologas de la informacin. Artculo 15. Incumplimientos El incumplimiento de las normas de uso expresadas en esta orden podr tener consecuencias disciplinarias, de acuerdo con el rgimen sancionador aplicable en cada caso, sin perjuicio de otras responsabili- dades en que se pudiera incurrir. CAPTULO III Medios tecnolgicos Artculo 16. Ordenadores personales de sobremesa 1. No est permitido alterar la configuracin hardware de los equi- pos ni conectar otros dispositivos a estos a iniciativa del usuario, as como variar su ubicacin. 2. No est permitido alterar la configuracin software de los equi- pos, desinstalar o instalar programas distintos a la configuracin esta- blecida por el organismo con competencias en tecnologas de la infor- macin. 3. Es obligatorio bloquear la sesin del usuario en el supuesto de ausentarse temporalmente del puesto de trabajo, a fin de evitar accesos de otras personas al equipo informtico. Asimismo, es obligatorio apa- gar el equipo al terminar la jornada laboral. 4. El almacenamiento de ficheros generados en el desempeo de las competencias profesionales del usuario, se efectuar en la carpe- ta habilitada en la red informtica, a fin de facilitar la realizacin de copias de seguridad o respaldo y proteger el acceso frente a personas no autorizadas. 5. No est permitido almacenar informacin privada, de cualquier naturaleza, en los recursos de almacenamiento compartidos. 6. No est permitido copiar, extraer o transmitir informacin con- tenida en el sistema informtico para uso privado o para cualquier otro distinto del servicio pblico al que est destinada. 7. Los ficheros temporales deben ser borrados una vez hayan dejado de ser necesarios para los fines que motivaron su creacin y, mientras estn vigentes, debern ser almacenados en la carpeta habilitada en la red informtica. Artculo 17. Equipos porttiles 1. Todas las responsabilidades aplicables a los ordenadores de sobremesa son de aplicacin para los equipos porttiles. 2. Responsabilidades adicionales especficas de los equipos port- tiles: a) Con carcter general, no se almacenar informacin sensible o confidencial en este tipo de equipos, y en caso de ser necesario, deber ser protegida mediante herramientas de cifrado. b) Este tipo de dispositivos estar bajo la custodia del usuario que los utilice. No se dejar el equipo porttil desatendido o abandonado en lugares donde pueda ser sustrado con facilidad. c) Los usuarios de estos equipos se responsabilizarn de que no sern usados por usuarios no autorizados. 2. Quan es modifiquen les circumstncies professionals que van originar lentrega dun mitj tecnolgic, lusuari el tornar a lorganis- me amb competncies en tecnologies de la informaci, a fi de proce- dir a lesborrament segur de la informaci emmagatzemada i restaurar lequip al seu estat original perqu puga ser assignat a un nou usuari. Article 13. Cpies de seguretat La cpia de seguretat peridica de les dades allotjades en els servi- dors corporatius s responsabilitat de lrgan competent en matria de tecnologies de la informaci. Cada usuari ser responsable de la inte- gritat i cpia de seguretat de la informaci emmagatzemada en el mitj tecnolgic que tinga assignat. Article 14. Accs des de lexterior noms est perms accedir des de lexterior de la XCGVA (Xarxa Corporativa de la Generalitat Valenciana) a recursos interns quan se seguisca el procediment aprovat a este efecte per lrgan amb compe- tncies en matria de tecnologies de la informaci. Article 15. Incompliments Lincompliment de les normes ds expressades en esta orde podr tindre conseqncies disciplinries dacord amb el rgim sancionador aplicable en cada cas, sense perju daltres responsabilitats en qu es puga incrrer. CAPTOL III Mitjans tecnolgics Article 16. Ordinadors personals de sobretaula 1. No est perms alterar la configuraci del maquinari dels equips ni connectar altres dispositius a estos a iniciativa de lusuari, aix com variar la seua ubicaci. 2. No est perms alterar la configuraci del programari dels equips, desinstallar o installar programes diferents de la configuraci establida per lorganisme amb competncies en tecnologies de la informaci. 3. s obligatori bloquejar la sessi de lusuari en el supsit dab- sentar-se temporalment del lloc de treball, a fi devitar accessos daltres persones a lequip informtic. Aix mateix, s obligatori apagar lequip en acabar la jornada laboral. 4. Lemmagatzematge de fitxers generats en lexercici de les com- petncies professionals de lusuari sefectuar en la carpeta habilitada en la xarxa informtica, a fi de facilitar la realitzaci de cpies de segu- retat o suport i protegir laccs davant de persones no autoritzades. 5. No est perms emmagatzemar informaci privada, de qualsevol naturalesa, en els recursos demmagatzematge compartits. 6. No est perms copiar, extraure o transmetre informaci con- tinguda en el sistema informtic per a s privat o per a qualsevol altre diferent del servici pblic a qu est destinada. 7. Els fitxers temporals han de ser esborrats una vegada que hagen deixat de ser necessaris per als fins que van motivar la seua creaci i, mentres estiguen vigents, hauran de ser emmagatzemats en la carpeta habilitada en la xarxa informtica. Article 17. Equips porttils 1. Totes les responsabilitats aplicables als ordinadors de sobretaula sn aplicables als equips porttils. 2. Responsabilitats addicionals especfiques dels equips porttils: a) Amb carcter general, no semmagatzemar informaci sensible o confidencial en este tipus dequips i, en cas de ser necessari, haur de ser protegida per mitj de ferramentes dencriptaci. b) Este tipus de dispositius estar sota la custdia de lusuari que els utilitze. No es deixar lequip porttil desats o abandonat en llocs on puga ser sostret amb facilitat. c) Els usuaris destos equips es responsabilitzaran que no seran usats per usuaris no autoritzats. Num. 7169 / 10.12.2013 35066 d) La prdida o robo de cualquier dispositivo o equipo porttil debe- r notificarse de inmediato al organismo con competencias en tecnolo- gas de la informacin. e) No debern conectarse directamente a redes ajenas. f) Deber estar desactivada la bsqueda de redes inalmbricas. 3. Los usuarios de equipos porttiles debern realizar conexiones peridicas al menos mensuales a la red corporativa, segn las instruc- ciones proporcionadas por el organismo con competencias en tecnolo- gas de la informacin, para permitir la actualizacin de aplicaciones, sistema operativo, firmas de antivirus y dems medidas de seguridad. 4. Sobre los ordenadores porttiles se adoptarn las medidas tcni- cas adecuadas al nivel de seguridad establecido atendiendo al tratamien- to de la informacin que vaya a efectuar. Artculo 18. Impresoras, fotocopiadoras, escneres, faxes y equipos multifuncin 1. Es obligatorio el uso de buzones de impresin con clave de acce- so, en los dispositivos multifuncin compartidos que lo permitan. 2. Cuando se imprima documentacin, esta deber permanecer el menor tiempo posible en las bandejas de salida de las impresoras, para evitar que terceras personas puedan acceder a la misma. 3. Se debern recoger los originales de la fotocopiadora, impresora, escner o equipos multifuncin una vez finalizado el proceso de copia o digitalizacin. Artculo 19. Dispositivos mviles 1. Todas las responsabilidades de uso especficas de los equipos porttiles, tambin lo son para los dispositivos mviles. 2. Es obligatorio configurar el dispositivo mvil para que pasado un tiempo de inactividad pase automticamente a modo de suspensin y se active el bloqueo de la pantalla. Artculo 20. Dispositivos de almacenamiento removibles autorizados 1. Los dispositivos de almacenamiento removibles autorizados sern los proporcionados por la Administracin de la Generalitat, sern conformes a las normas de seguridad de la organizacin, y sern desti- nados a un uso exclusivamente profesional, como herramienta de trans- porte de ficheros, y no como herramienta de almacenamiento. 2. En caso de ser necesario almacenar informacin sensible o confi- dencial en este tipo de dispositivo, deber ser protegida mediante herra- mientas de cifrado. 3. Este tipo de dispositivos estar bajo la custodia del usuario que los utilice. No se dejar el dispositivo desatendido o abandonado en lugares donde pueda ser sustrado con facilidad. 4. La prdida o robo de cualquier dispositivo de almacenamiento removible deber notificarse de inmediato al organismo con competen- cias en tecnologas de la informacin. Artculo 21. Correo electrnico corporativo 1. Las cuentas creadas en los servidores de la Administracin de la Generalitat tienen como objetivo el intercambio de mensajes propios del desempeo profesional. Queda prohibido su uso con fines comerciales, financieros o personales. 2. No estn permitidos los envos masivos, siendo rechazados los mensajes si el nmero mximo de destinatarios es superior al lmite establecido por el rgano con competencias en materia de tecnologas de la informacin. 3. No se debe utilizar el correo para anunciar la aparicin de nuevos virus, amenazas, etc. 4. Queda totalmente prohibido suplantar la identidad de una persona a travs del correo electrnico. 5. No se permite el uso de cuentas de correo distintas a las propor- cionadas por la Administracin de la Generalitat dentro de la RCGVA, salvo autorizacin expresa del rgano con competencias en materia de tecnologas de la Informacin. 6. Los usuarios no deben enviar mensajes con informacin sensible tanto en el cuerpo del mensaje como en los archivos adjuntos. Este envo nicamente podr realizarse si se adoptan los mecanismos nece- sarios para evitar que la informacin sea inteligible o manipulada por terceros (cifrado y firma electrnica). d) La prdua o robatori de qualsevol dispositiu o equip porttil haur de notificar-se immediatament a lorganisme amb competncies en tecnologies de la informaci. e) No hauran de connectar-se directament a xarxes alienes. f) Haur destar desactivada la busca de xarxes sense fil. 3. Els usuaris dequips porttils hauran de realitzar connexions peri- diques almenys mensuals a la xarxa corporativa, segons les instrucci- ons proporcionades per lorganisme amb competncies en tecnologies de la informaci, per a permetre lactualitzaci daplicacions, sistema operatiu, firmes dantivirus i la resta de mesures de seguretat. 4. Sobre els ordinadors porttils sadoptaran les mesures tcniques adequades al nivell de seguretat establit atenent el tractament de la informaci que haja defectuar. Article 18. Impressores, fotocopiadores, escners, faxos i equips multifunci 1. s obligatori ls de bsties dimpressi amb clau daccs en els dispositius multifunci compartits que ho permeten. 2. Quan simprimisca documentaci, esta haur de romandre el menor temps possible en les safates deixida de les impressores, per a evitar que terceres persones hi puguen accedir. 3. Shauran darreplegar els originals de la fotocopiadora, impres- sora, escner o equips multifunci una vegada finalitzat el procs de cpia o digitalitzaci. Article 19. Dispositius mbils 1. Totes les responsabilitats ds especfiques dels equips porttils tamb ho sn per als dispositius mbils. 2. s obligatori configurar el dispositiu mbil perqu passat un temps dinactivitat passe automticament a manera de suspensi i sac- tive el bloqueig de la pantalla. Article 20. Dispositius demmagatzematge removibles autoritzats 1. Els dispositius demmagatzematge removibles autoritzats seran els proporcionats per lAdministraci de la Generalitat, seran conformes a les normes de seguretat de lorganitzaci i seran destinats a un s exclusivament professional, com a ferramenta de transport de fitxers, i no com a ferramenta demmagatzematge. 2. En cas de ser necessari emmagatzemar informaci sensible o con- fidencial en este tipus de dispositiu, haur de ser protegida per mitj de ferramentes dencriptaci. 3. Este tipus de dispositius estar sota la custdia de lusuari que els utilitze. No es deixar el dispositiu desats o abandonat en llocs on puga ser sostret amb facilitat. 4. La prdua o robatori de qualsevol dispositiu demmagatzematge removible haur de notificar-se immediatament a lorganisme amb com- petncies en tecnologies de la informaci. Article 21. Correu electrnic corporatiu 1. Els comptes creats en els servidors de lAdministraci de la Generalitat tenen com a objectiu lintercanvi de missatges propis de lexercici professional. Queda prohibit el seu s amb fins comercials, financers o personals. 2. No estan permesos els enviaments massius, i seran rebutjats els missatges si el nombre mxim de destinataris s superior al lmit establit per lrgan amb competncies en matria de tecnologies de la informa- ci. 3. No sha dutilitzar el correu per a anunciar laparici de nous virus, amenaces, etc. 4. Queda totalment prohibit suplantar la identitat duna persona a travs del correu electrnic. 5. No es permet ls de comptes de correu diferents dels proporci- onats per lAdministraci de la Generalitat dins de la XCGVA, excepte autoritzaci expressa de lrgan amb competncies en matria de tec- nologies de la informaci. 6. Els usuaris no han denviar missatges amb informaci sensible tant en el cos del missatge com en els arxius adjunts. Este enviament nicament podr realitzar-se si sadopten els mecanismes necessaris per a evitar que la informaci siga intelligible o manipulada per tercers (encriptaci i firma electrnica). Num. 7169 / 10.12.2013 35067 7. El correo electrnico es una de las fuentes ms importantes de difusin de virus, por lo que se recomienda no abrir mensajes recibidos de remitentes desconocidos. 8. Para garantizar la identidad del remitente los correos se firmarn digitalmente. 9. Debido al incremento y a la continua aparicin de nuevos virus, son eliminados automticamente los mensajes con anexos susceptibles de ejecucin. 10. Se limitar el tamao mximo de los ficheros adjuntos y se asig- nar a los usuarios un tamao mximo de buzn, dentro de unos lmites razonables. Artculo 22. Acceso a Internet desde la RCGVA 1. Condiciones de acceso a Internet. a) El acceso a internet se realizar nicamente a travs de la salida a internet establecida por el rgano con competencias en materia de tecnologas de la informacin utilizando los medios tecnolgicos que se dispongan a tal fin. b) El acceso a internet por otros medios, est expresamente prohi- bido. c) Los recursos de internet sern filtrados segn su contenido a tra- vs de sistemas automatizados y cada usuario tendr asignado un perfil de acceso en funcin de su puesto de trabajo, que determinar a qu tipo de contenidos podr acceder y en qu horarios. d) Los perfiles de acceso sern creados por el rgano con competen- cias en materia de tecnologas de la informacin. 2. Responsabilidad del usuario final a) La utilizacin de internet debe limitarse a la obtencin de infor- macin relacionada con el trabajo que se desempea, debiendo por lo tanto evitarse toda utilizacin que no tenga una mnima relacin con las funciones encomendadas al usuario, o que pudiera conducir a una mejora en la calidad del trabajo desarrollado. b) No est permitido el acceso a pginas de contenido ofensivo, inapropiado, pornogrfico, o discriminatorio por razones de gnero, etnia, opcin sexual, discapacidad o cualquier otra circunstancia per- sonal o social. c) No se permite la descarga desde internet de cualquier clase de programas, aplicaciones, documentos o archivos que no provengan de pginas oficiales relacionadas con el trabajo, todo ello con la finalidad de que la descarga no pueda poner en peligro los sistemas informticos y la informacin que la Generalitat custodia. DISPOSICIONES FINALES Primera. Desarrollo Se autoriza al centro superior o directivo con competencias en mate- ria de tecnologas de la informacin a dictar las instrucciones y rdenes de servicio, as como a adoptar las medidas que considere oportunas para el desarrollo y aplicacin de la presente orden. Segunda. Entrada en vigor La presente orden entrar en vigor el da siguiente al de su publica- cin en el Diari Oficial de la Comunitat Valenciana. Valencia, 3 de diciembre de 2013 El conseller de Hacienda y Administracin Pblica, JUAN CARLOS MORAGUES FERRER 7. El correu electrnic s una de les fonts ms importants de difusi de virus, per la qual cosa es recomana no obrir missatges rebuts de remitents desconeguts. 8. Per a garantir la identitat del remitent, els correus es firmaran digitalment. 9. A causa de lincrement i la contnua aparici de nous virus, sn eliminats automticament els missatges amb annexos susceptibles dexecuci. 10. Es limitar la grandria mxima dels fitxers adjunts i sassignar als usuaris una grandria mxima de bstia, dins duns lmits raonables. Article 22. Accs a Internet des de la XCGVA 1. Condicions daccs a Internet. a) Laccs a Internet es realitzar nicament a travs de leixida a Internet establida per lrgan amb competncies en matria de tecnolo- gies de la informaci utilitzant els mitjans tecnolgics que es disposen amb este fi. b) Laccs a Internet per altres mitjans est expressament prohibit. c) Els recursos dInternet seran filtrats segons el seu contingut a travs de sistemes automatitzats i cada usuari tindr assignat un perfil daccs en funci del seu lloc de treball, que determinar a quin tipus de continguts podr accedir i en quins horaris. d) Els perfils daccs seran creats per lrgan amb competncies en matria de tecnologies de la informaci. 2. Responsabilitat de lusuari final a) La utilitzaci dInternet ha de limitar-se a lobtenci dinforma- ci relacionada amb el treball que sexercix i, per tant, sha evitar-se tota utilitzaci que no tinga una mnima relaci amb les funcions enco- manades a lusuari o que puga conduir a una millora de la qualitat del treball desenrotllat. b) No est perms laccs a pgines de contingut ofensiu, inapropi- at, pornogrfic o discriminatori per raons de gnere, tnia, opci sexual, discapacitat o qualsevol altra circumstncia personal o social. c) No es permet la descrrega des dInternet de qualsevol classe de programes, aplicacions, documents o arxius que no provinguen de pgines oficials relacionades amb el treball, tot aix amb la finalitat que la descrrega no puga posar en perill els sistemes informtics i la informaci que la Generalitat custodia. DISPOSICIONS FINALS Primera. Desplegament Sautoritza el centre superior o directiu amb competncies en mat- ria de tecnologies de la informaci a dictar les instruccions i ordes de servici, aix com a adoptar les mesures que considere oportunes per al desplegament i laplicaci desta orde. Segona. Entrada en vigor Esta orde entrar en vigor lendem de la seua publicaci en el Diari Oficial de la Comunitat Valenciana. Valncia, 3 de desembre de 2013 El conseller dHisenda i Administraci Pblica, JUAN CARLOS MORAGUES FERRER Num. 7169 / 10.12.2013 35068 ANEXO Glosario de trminos AMENAZA: eventos que pueden desencadenar un incidente en la organizacin, produciendo daos materiales o prdidas inmateriales en sus activos. CONTRASEA O CLAVE DE ACCESO: informacin secreta, en general compuesta por un grupo de caracteres, utilizada para la auten- ticacin. COPIA DE SEGURIDAD O RESPALDO: es una copia de los datos originales que se realiza con el fin de disponer de un medio de recupe- rarlos en caso de su prdida. DISPOSITIVOS MVILES: un dispositivo mvil se puede defi- nir como un equipo de un tamao pequeo, con algunas capacidades de procesamiento, con conexin permanente o intermitente a una red, con memoria limitada, que ha sido diseado especficamente para una funcin, pero que pueden llevar a cabo otras funciones ms generales. CIFRADO: transformacin criptogrfica de datos para producir un criptograma o texto cifrado. EQUIPO PORTTIL: es aquel ordenador personal que es capaz de realizar la mayor parte de las tareas que realizan los ordenadores de sobremesa, con similar capacidad, con la ventaja de su peso y tamao reducidos, as como su movilidad. IDENTIFICACIN DE ACCESO: proceso que limita y controla el acceso a los recursos de un sistema de informacin. INFORMACIN SENSIBLE: aquella, as definida por su propie- tario, que debe ser especialmente protegida, pues su revelacin, altera- cin, prdida o destruccin puede producir daos importantes a alguien o a algo. HARDWARE: se refiere a todas las partes tangibles de un sistema informtico; sus componentes son: elctricos, electrnicos, electrome- cnicos y mecnicos. ORDENADORES PERSONALES: son los equipos informticos bsicos de los puestos de trabajo, donde estarn instaladas las aplica- ciones necesarias para el desempeo de las funciones y desde los que acceder el usuario a la red corporativa y a los sistemas de informacin. PERFIL DE ACCESO: limitacin del acceso a los recursos exclu- sivamente a personas, entidades o procesos con la debida autorizacin TELEFONA FIJA: es aquella que hace referencia a las lneas y equipos que se encargan de la comunicacin entre terminales telefni- cos no portables, y generalmente enlazados entre ellos o con la central por medio de conductores metlicos. RED CORPORATIVA DE LA GENERALITAT VALENCIANA (RCGVA): es la infraestructura comn para la interconexin de las sedes de todas las conselleras y organismos, tanto a nivel de los servi- cios de datos como de voz, con distribucin geogrfica que abarca toda la Comunitat Valenciana. RED INFORMTICA: sistema de comunicacin que conecta orde- nadores y otros equipos informticos entre s, con la finalidad de com- partir informacin y recursos. RED INALMBRICA: la conexin de equipos por medio de ondas electromagnticas y sin necesidad de una conexin fsica mediante cables. Las redes ms usuales suelen ser WIFI, Bluetooth, o infrarrojos. ANNEX Glossari de termes AMENAA: esdeveniments que poden desencadenar un incident en lorganitzaci produint danys materials o prdues immaterials en els seus actius. CONTRASENYA O CLAU DACCS: informaci secreta, en gene- ral composta per un grup de carcters, utilitzada per a lautenticaci. CPIA DE SEGURETAT O SUPORT: cpia de les dades originals que es realitza a fi de disposar dun mitj de recuperar-les en cas de prdua. DISPOSITIUS MBILS: un dispositiu mbil es pot definir com un equip de dimensions xicotetes, amb algunes capacitats de processament, amb connexi permanent o intermitent a una xarxa, amb memria limi- tada, que ha sigut dissenyat especficament per a una funci, per que poden dur a terme altres funcions ms generals. ENCRIPTACI: transformaci criptogrfica de dades per a produir un criptograma o text encriptat. EQUIP PORTTIL: s aquell ordinador personal que s capa de realitzar la major part de les tasques que realitzen els ordinadors de sobretaula, amb capacitat semblant, amb lavantatge del seu pes i gran- dria reduts, aix com la seua mobilitat. IDENTIFICACI DACCS: procs que limita i controla laccs als recursos dun sistema dinformaci. INFORMACI SENSIBLE: aquella, aix definida pel seu propi- etari, que ha de ser especialment protegida perqu la seua revelaci, alteraci, prdua o destrucci pot produir danys importants a alg o a alguna cosa. MAQUINARI: es referix a totes les parts tangibles dun sistema informtic; els seus components sn elctrics, electrnics, electrome- cnics i mecnics. ORDINADORS PERSONALS: sn els equips informtics bsics dels llocs de treball, on estaran installades les aplicacions necessries per a lexercici de les funcions i des dels quals accedir lusuari a la xarxa corporativa i als sistemes dinformaci. PERFIL DACCS: limitaci de laccs als recursos exclusivament a persones, entitats o processos amb la deguda autoritzaci. TELEFONIA FIXA: s aquella que fa referncia a les lnies i equips que sencarreguen de la comunicaci entre terminals telefnics no por- tables, i generalment enllaats entre ells o amb la central per mitj de conductors metllics. XARXA CORPORATIVA DE LA GENERALITAT VALENCIANA (XCGVA): s la infraestructura comuna per a la interconnexi de les seus de totes les conselleries i organismes, tant en lmbit dels servicis de dades com de veu, amb distribuci geogrfica que comprn tota la Comunitat Valenciana. XARXA INFORMTICA: sistema de comunicaci que connecta ordinadors i altres equips informtics entre si, amb la finalitat de com- partir informaci i recursos. XARXA SENSE FIL: la connexi dequips per mitj dones elec- tromagntiques i sense necessitat duna connexi fsica per mitj de cables. Les xarxes ms usuals solen ser WI-FI, Bluetooth o infrarojos. Num. 7169 / 10.12.2013 35069