Ficha disposicion pc

Texto h2

diari

DECRET 66/2012, de 27 d'abril, del Consell, pel qual s'establix la política de seguretat de la informació de la Generalitat. [2012/4162]

(DOGV núm. 6764 de 30.04.2012) Ref. Base de dades 004163/2012

DECRET 66/2012, de 27 d'abril, del Consell, pel qual s'establix la política de seguretat de la informació de la Generalitat. [2012/4162]
ÍNDEX

Preàmbul
Capítol I. Naturalesa i destinataris
Article 1. Objecte
Article 2. Àmbit d'aplicació
Capítol II. Principis i obligacions
Article 3. La seguretat com a procés integral
Article 4. Gestió de riscos
Article 5. Classificació de la informació
Article 6. Separació de funcions
Article 7. Planificació i coordinació
Article 8. Accés a la informació
Article 9. Registre d'activitat
Article 10. Confidencialitat i deure de secret
Article 11. Ús d'instal·lacions i equipament
Article 12. Característiques dels sistemes d'informació
Article 13. Protecció de la informació emmagatzemada i en trànsit

Capítol III. Desenrotllament
Article 14. Desplegament
Capítol IV. Difusió, actualització i obligacions
Article 15. Publicitat, monitorització i revisió
Article 16. Obligacions del personal
Disposició addicional primera. Relacions amb tercers
Disposició addicional segona. Possibilitat d'adhesió
Disposició derogatòria única. Derogació normativa
Disposició final primera. Desplegament
Disposició final segona. Entrada en vigor

PREÀMBUL

La informació constituïx un actiu de primer orde per a la Generalitat, des del moment que resulta essencial per a la prestació de gran part dels seus servicis. Per un altre costat, les tecnologies de la informació i les comunicacions s'han fet imprescindibles també i cada vegada més per a les administracions públiques. No obstant això, les indiscutibles millores que aporten al tractament de la informació estan acompanyades de nous riscos, i per tant és necessari introduir mesures específiques per a protegir tant la informació com els servicis que en depenguen.

La seguretat de la informació té com a objectiu protegir la informació i els servicis reduint els riscos a què estan sotmesos fins a un nivell que resulte acceptable. Dins de cada organització només els seus màxims directius tenen les competències necessàries per a fixar el dit nivell, ordenar les actuacions i habilitar els mitjans per a dur-les a terme. En este sentit, establir una política de seguretat de la informació, i fer el subsegüent repartiment de tasques i responsabilitats, són actuacions prioritàries, ja que són els dos instruments principals per al govern de la seguretat i constituïxen el marc de referència per a totes les actuacions posteriors. El present decret establix la política de seguretat de la informació de la Generalitat, i es complementarà amb el desenrotllament de l'organització de la seguretat. Amb ambdós disposicions la Generalitat es dota de dos instruments eficaços per a millorar la seguretat de la informació sota la seua responsabilitat, sense limitar-se pel que fa a dades personals o a la que intervé en procediments d'administració electrònica.
L'article 45 de la Llei de Règim Jurídic de les Administracions Públiques i del Procediment Administratiu Comú, sota la rúbrica Incorporació de mitjans tècnics, establix que les administracions públiques impulsaran l'ocupació i l'aplicació de les tècniques i mitjans electrònics, informàtics i telemàtics per al desenrotllament de la seua activitat i l'exercici de les seues competències.
La Llei Orgànica 15/1999, de 13 de desembre, de Protecció de Dades de Caràcter Personal, en l'article 9.1 obliga els responsables dels fitxers que continguen dades personals a «adoptar les mesures d'índole tècnica i organitzatives necessàries que garantisquen la seguretat de les dades de caràcter personal i eviten la seua alteració, pèrdua, tractament o accés no autoritzat».
La Llei 11/2007, de 22 de juny, d'Accés Electrònic dels Ciutadans als Servicis Públics, en la seua part expositiva, entre altres punts, precisa que «els tècnics i els científics han posat en peu els instruments d'esta societat, però la seua generalització depén, en gran manera, de l'impuls que reba de les administracions públiques», figurant entre els seus fins crear les condicions de confiança en l'ús dels mitjans electrònics, establint les mesures necessàries per a la preservació de la integritat dels drets fonamentals, i, en especial, els relacionats amb la intimitat i la protecció de dades de caràcter personal per mitjà de la garantia de la seguretat dels sistemes, les dades, les comunicacions i els servicis electrònics. El Reial Decret 3/2010, de 8 de gener, pel qual es regula l'Esquema Nacional de Seguretat en l'àmbit de l'Administració Electrònica, té com a finalitat la creació de les condicions necessàries de confiança en l'ús dels mitjans electrònics.

L'Esquema Nacional de Seguretat en l'àmbit de l'administració electrònica obliga els òrgans superiors de les administracions públiques a dotar-se formalment d'una política de seguretat, que haurà d'atindre's als principis bàsics i requisits mínims que s'indiquen en els capítols II i III del Reial Decret 3/2010, de 8 de gener.
La disposició final octava de la Llei 11/2007, de 22 de juny, establix que correspon al govern i a les comunitats autònomes, en l'àmbit de les seues competències respectives, dictar les disposicions necessàries per al desplegament i aplicació de l'esmentada llei.
En l'àmbit autonòmic, els antecedents normatius en esta matèria es troben en el Decret 96/1998, de 6 de juliol, del Consell, pel qual es regulen l'organització de la funció informàtica, la utilització dels sistemes d'informació i el registre de fitxers informatitzats en l'àmbit de l'administració de la Generalitat, i en el Decret 112/2008, de 25 de juliol, del Consell, pel qual es va crear la Comissió Interdepartamental per a la Modernització Tecnològica, la Qualitat i la Societat del Coneixement a la Comunitat Valenciana.
D'altra banda, la Llei 3/2010, de 5 de maig, de la Generalitat, d'Administració Electrònica de la Comunitat Valenciana, es va promulgar a l'empara de l'article 19.2 de l'Estatut d'Autonomia de la Comunitat Valenciana, que reconeix el dret d'accés dels valencians a les noves tecnologies i que la Generalitat desenrotlle polítiques actives que impulsen la formació, les infraestructures i la seua utilització, així com de l'article 49.3.16, que establix que la Generalitat té la competència exclusiva sobre el «règim de les noves tecnologies relacionades amb la societat de la informació i del coneixement».
L'article 37.4 de la Llei 3/2010, de 5 de maig, de la Generalitat, disposa que les «administracions públiques, en funció de la seua capacitat i possibilitats, aprovaran, o adoptaran per mitjà dels oportuns acords i convenis, polítiques de seguretat de la informació per a l'aplicació efectiva dels principis assenyalats en els apartats anteriors, podent promoure la constitució o incorporació als grups i centres de seguretat a què es referix l'article 35.6 d'esta llei».
Per tot allò que s'ha exposat, en compliment del que disposa la disposició final octava de la Llei 11/2007, de 22 de juny, d'Accés Electrònic dels Ciutadans als Servicis Públics, i de l'article 37.4 de la Llei 3/2010, de 5 de maig, de la Generalitat, d'Administració Electrònica de la Comunitat Valenciana, a proposta del conseller d'Hisenda i Administració Pública, conforme amb el Consell Jurídic Consultiu de la Comunitat Valenciana i amb la deliberació prèvia del Consell, en la reunió del dia 27 d'abril de 2012,

DECRETE

CAPÍTOL I
Naturalesa i destinataris

Article 1. Objecte
El present decret té com a finalitat definir i regular la política de seguretat de la informació que s'ha d'aplicar en el tractament de la informació situada sota la responsabilitat dels distints òrgans de l'Administració de la Generalitat i les seues entitats autònomes.

Article 2. Àmbit d'aplicació
La política de seguretat regulada en el present decret haurà d'aplicar-se a tota la informació sota la responsabilitat de l'Administració de la Generalitat i les seues entitats autònomes, així com al tractament de què puga ser objecte. Esta consideració no es limita a les dades de caràcter personal i és independent que el tractament siga manual o automatitzat.


CAPÍTOL II
Principis i obligacions

Article 3. La seguretat com a procés integral
1. La seguretat de la informació és el resultat d'un procés que depén de tots i cada un dels elements humans, tècnics, materials i organitzatius que intervenen en el tractament. Els que participen en qualsevol fase del tractament hauran de respondre, en la mesura de les seues responsabilitats, de la seguretat i bon ús de la informació. De manera especial, hauran de col·laborar en la prevenció, detecció i control dels riscos derivats d'actuacions negligents, ignorància de les normes, fallades tècniques, d'organització o de coordinació, o instruccions inadequades.

2. La Generalitat, a través dels distints agents amb responsabilitats específiques en matèria de seguretat de la informació, s'encarregarà de proporcionar els canals de participació adequats que facen efectiva la col·laboració mencionada en l'apartat anterior. De la mateixa manera, la Generalitat s'ocuparà de mantindre permanentment informats, a tots els destinataris d'esta política, del propòsit i contingut d'esta, així com dels documents que la despleguen i dels canals de participació habilitats.

3. El procés de gestió de la seguretat de la informació haurà d'estar sotmés a monitorització, control i millora continus per a confirmar la seua eficàcia davant de la constant evolució dels riscos i dels sistemes de protecció.

Article 4. Gestió de riscos
1. El govern i la gestió de la seguretat de la informació es guiaran pels resultats dels processos d'anàlisi i gestió de riscos.
2. Els responsables de seguretat de la informació elaboraran un informe anual sobre l'estat de la seguretat, els riscos previsibles i els plans d'actuació recomanats. Estos informes s'elevaran als responsables de la informació i, si és el cas, als responsables de tractament, els quals fixaran el nivell de risc acceptable i ordenaran les actuacions oportunes.
3. La reducció dels nivells de risc es realitzarà per mitjà de l'aplicació de controls. La selecció i aplicació dels controls ponderaran el valor dels actius amb els nivells de risc i el cost de la seguretat.

4. Els controls hauran de ser eficaços abans, durant o després que ocórrega un incident de seguretat. El seu objectiu és evitar que succeïsquen incidències i controlar els danys si és que finalment arriben a produir-se.
5. L'anàlisi i la gestió de riscos hauran d'estar presents en totes les fases del cicle de vida de les aplicacions i servicis relacionats amb el tractament de la informació, començant per la de l'estudi de viabilitat.

6. La selecció i l'aplicació dels controls de seguretat, així com l'avaluació de la seua eficiència, hauran de tindre's en compte durant el disseny, construcció, contractació, adquisició, explotació, tancament, terminació, cancel·lació o alienació de les aplicacions i servicis mencionats.
7. Els òrgans competents de la Generalitat valoraran en les contractacions aquelles empreses, productes i servicis que puguen acreditar un nivell de qualitat o seguretat. El compliment d'un nivell mínim determinat podrà ser un requisit imprescindible.

Article 5. Classificació de la informació
Els actius d'informació hauran d'estar inventariats i classificats. El nivell de protecció i les mesures a aplicar es basaran en el resultat de la dita classificació.

Article 6. Separació de funcions
La seguretat de la informació exigix un repartiment de tasques i responsabilitats amb una clara separació de funcions. En particular, s'haurà de mantindre una clara distinció entre els tres papers següents: responsables de la informació, responsables del servici i responsables de seguretat, que seran definits en l'esquema organitzatiu.

Article 7. Planificació i coordinació
1. Els objectius a mig termini per a la millora de la seguretat de la informació s'explicitaran en els corresponents plans estratègics. Estos plans contindran una descripció de les línies d'actuació previstes, projectes, indicadors de compliment i de progrés, així com mètriques per a avaluar l'efectivitat. Estos plans es revisaran anualment tenint en compte els resultats de les auditories i de les avaluacions de riscos. Els plans estratègics, els informes de seguiment i les revisions anuals se sotmetran a l'aprovació dels responsables de la informació o dels responsables de tractament, segons corresponga.
2. La coordinació entre tots els agents de què depén la seguretat de la informació ha de formar part de totes les iniciatives i actuacions. La Generalitat habilitarà els mitjans tècnics necessaris per a facilitar esta coordinació. Els responsables de seguretat actuaran de manera coordinada en l'aplicació i control de les mesures de seguretat.

3. Les empreses de servicis, organitzacions i entitats amb accés a informació situada sota la responsabilitat de la Generalitat hauran de nomenar un responsable de seguretat que actue com a interlocutor vàlid als efectes de la coordinació en esta matèria.

Article 8. Accés a la informació
1. Els que tracten informació que no haja sigut classificada d'accés públic hauran d'estar degudament identificats i tindre els privilegis d'accés a la informació estrictament imprescindibles per a exercir la seua comesa.
2. Els responsables de la informació hauran de nomenar un responsable d'accés per a cada actiu d'informació, qui al seu torn podrà nomenar delegats on es realitze tractament.
3. Cada intent d'accés haurà de quedar registrat amb el suficient nivell de detall. Els responsables dels accessos revisaran i informaran estos registres.

Article 9. Registre d'activitat
Les actuacions de les persones, en tant que formen part de determinat tractament d'informació, podran ser registrades en compliment de les exigències legals de traçabilitat. També podran ser-ho per a monitoritzar el compliment de la present política. En tot cas, el registre d'estes actuacions es realitzarà preservant els drets dels afectats i respectant la normativa laboral aplicable.

Article 10. Confidencialitat i deure de secret
Els qui per raó de l'exercici de les seues funcions accedisquen a dades que no siguen d'accés públic hauran d'observar la necessària reserva, confidencialitat i sigil respecte a estes dades, inclús després d'haver cessat en les seues funcions o finalitzat la relació contractual o laboral.

Article 11. Ús d'instal·lacions i d'equipament
1. La Generalitat dotarà els llocs de treball amb l'equipament informàtic i de comunicacions necessari per a l'exercici de les funcions encomanades. Estos equips no estan destinats a l'ús personal.

2. L'equipament mencionat en l'apartat anterior no podrà utilitzar-se per a activitats il·lícites o irregulars, o que afecten negativament el funcionament de l'Administració o siguen contràries als interessos d'esta.

3. La instal·lació o la utilització d'elements de maquinari o programari aliens que formen part de la configuració del lloc de treball requeriran una autorització prèvia per part de l'òrgan competent en matèria de tecnologies de la informació que corresponga.
4. Les infraestructures informàtiques i de comunicacions que no formen part dels llocs de treball hauran d'ubicar-se en àrees separades, d'accés restringit i suficientment protegides d'acord amb la naturalesa de la informació i dels servicis en què intervinguen.
Article 12. Característiques dels sistemes d'informació
1. Els sistemes d'informació proporcionaran la funcionalitat estrictament necessària per a complir els propòsits declarats, i cap més.

2. L'ús ordinari dels sistemes d'informació ha de ser senzill i segur, de manera que una utilització insegura requerisca un acte conscient per part de l'usuari.
3. Les funcions d'operació, administració, manteniment i registre d'activitat seran les mínimes necessàries, hauran d'estar descrites i documentades i subjectes a controls estrictes.

Article 13. Protecció de la informació emmagatzemada i en trànsit
1. La Generalitat, a través dels distints agents amb responsabilitats específiques en matèria de seguretat de la informació, establirà les condicions per a la protecció en el tractament d'informació fora dels seus locals i sistemes.
2. La Generalitat garantirà, de la mateixa manera que l'apartat anterior, la conservació i la recuperació de la informació mentres perdure la seua vigència.
3. La informació en suport no electrònic que haja sigut causa o conseqüència directa de tractament automatitzat d'informació haurà de protegir-se amb el mateix grau de seguretat que esta.

CAPÍTOL III
Desenrotllament

Article 14. Desplegament
1. Esta política es desplegarà en un conjunt de documents l'objectiu dels quals és facilitar que el tractament d'informació es realitze d'acord amb els objectius i principis exposats en els articles anteriors.

2. Els documents mencionats en el punt anterior hauran d'abordar, almenys, els aspectes següents:
a) Condicions per a l'accés a la informació.
b) Ús de l'equipament informàtic i de comunicacions.
c) Gestió d'incidents i problemes.
d) Continuïtat d'operacions.
e) Seguretat amb tercers.
f) Classificació i tractament de la informació.
g) Anàlisi i gestió de riscos.
h) Seguretat física i del personal.
i) Prevenció de virus i codi maliciós.
j) Cicle de vida dels sistemes d'informació.
k) Millora contínua. Nivells de maduresa.
l) Elaboració, publicació i revisió de la política de seguretat de la informació i dels documents complementaris.
3. Els documents mencionats en el punt 1 estaran agrupats en tres col·leccions: normes, procediments i guies de bones pràctiques.
4. Les normes proporcionaran un primer nivell de concreció; cada una d'estes estarà dirigida a un tipus d'activitat determinat. Els procediments descriuran la seqüència concreta de passos per a completar una tasca. Les guies de bones pràctiques oferiran recomanacions sobre com actuar en situacions específiques.
Les normes i els procediments tindran caràcter obligatori. Les possibles excepcions hauran de justificar-se.

CAPÍTOL IV
Difusió, actualització i obligacions

Article 15. Publicitat, monitorització i revisió
1. La Generalitat disposarà dels mitjans per a publicar, donar a conéixer i facilitar el compliment d'esta política i dels documents que la despleguen, així com per a verificar la seua aplicació i efectivitat. Així mateix, habilitarà canals de participació que permeten, als destinataris d'esta política i dels documents complementaris, participar en la seua revisió i millora.
2. Els responsables de seguretat inclouran en les seues memòries anuals un apartat sobre el grau de compliment i eficàcia d'esta normativa i un altre proposant accions de millora. Estes memòries es presentaran al responsable en matèria de seguretat de la informació que corresponga perquè aprove les actuacions oportunes.
Article 16. Obligacions del personal
1. La política de seguretat té caràcter obligatori per a tot el personal al servici de l'Administració de la Generalitat i les seues entitats autònomes, especialment per als qui participen en el tractament d'informació o tinguen accés als locals on es custodie la informació o es realitze el seu tractament.
2. Les circumstàncies exposades en el paràgraf anterior són independents del tipus de relació jurídica o laboral que es mantinga amb l'administració de la Generalitat i les seues entitats autònomes. Quan el personal afectat per alguna de les condicions indicades estiga contractat per una empresa de servicis o pertanga a alguna entitat col·laboradora, el compliment del que disposa esta política s'inclourà en els contractes o convenis que regulen la dita relació. Les subcontractacions hauran de comptar amb l'autorització expressa del responsable de la informació i en cap cas eximiran del compliment d'esta política.
3. L'incompliment de la política de seguretat expressada en este decret podrà tindre conseqüències disciplinàries, d'acord amb el règim sancionador aplicable en cada cas, sense perjuí d'altres responsabilitats en què es puga incórrer.

DISPOSICIONS ADDICIONALS

Primera. Relacions amb tercers
Els contractes o convenis a què es referix l'article 16.2 de la present disposició que se subscriguen a partir de l'entrada en vigor d'este decret hauran d'incloure una clàusula de compliment d'esta política, juntament amb un procediment de verificació adequat. Els contractes i convenis firmats amb anterioritat a esta data seran objecte de revisió en el mateix sentit.

Segona. Possibilitat d'adhesió
La resta del sector públic valencià podrà aplicar esta política de seguretat quan així ho establisquen les seues normes internes de funcionament.

DISPOSICIÓ DEROGATÒRIA

Única. Derogació normativa
Queda derogada l'Orde de 3 de desembre de 1999, de la Conselleria de Justícia i Administració Pública, per la qual es va aprovar el Reglament Tècnic de Mesures de Seguretat per a l'Aprovació i Homologació d'Aplicacions i Mitjans de Tractament Automatitzat de la Informació, en tot el que s'opose al present decret.
Queden derogades totes les disposicions del mateix rang o inferior que s'oposen al que disposa el present decret.

DISPOSICIONS FINALS

Primera. Desplegament
Es faculta el conseller o la consellera amb competències horitzontals de la Generalitat en matèria de tecnologies de la informació i comunicació per a dictar totes les disposicions que exigisca l'aplicació i execució d'este decret.
Es faculta el conseller o la consellera amb competències en matèria de sanitat i salut pública perquè desplegue les disposicions necessàries per a establir l'organització de la seguretat de la informació en el seu àmbit de competència.

Segona. Entrada en vigor
Este decret entrarà en vigor l'endemà de la seua publicació en el Diari Oficial de la Comunitat Valenciana.

Valencia, 27 d'abril de 2012

El president de la Generalitat,
ALBERTO FABRA PART

El conseller de Hisenda i Administració Pública,
JOSÉ MANUEL VELA BARGUES

linea
Mapa web