Ficha disposicion pc

Texto h2

diari

ORDRE de 3 de desembre de 1999, de la Conselleria de Justícia i Administracions Públiques, per la qual s'aprova el Reglament Tècnic de Mesures de Seguretat per a l'Aprovació i Homologació d'Aplicacions i Mitjans de Tractament Automatitzat de la Informació. [1999/M11020]

(DOGV núm. 3667 de 17.01.2000) Ref. Base de dades 0182/2000

ORDRE de 3 de desembre de 1999, de la Conselleria de Justícia i Administracions Públiques, per la qual s’aprova el Reglament Tècnic de Mesures de Seguretat per a l’Aprovació i Homologació d’Aplicacions i Mitjans de Tractament Automatitzat de la Informació. [1999/M11020]
La introducció de les noves tecnologies del tractament de la informació ha suposat un notable avanç en els processos de racionalització i modernització de les administracions públiques. Tot i això, la seua utilització requereix l’establiment d’uns requisits que garantisquen els drets dels ciutadans.
En l’article 45 de la Llei 30/1992, de 26 de novembre, de Règim Jurídic de les Administracions Públiques i del Procediment Administratiu Comú, es consagra la utilització dels mitjans electrònics, informàtics i telemàtics per part de les unitats administratives, per a l’exercici de les seues competències. En aquest article es regulen els requisits bàsics que han de complir aquests mitjans, a fi que els seus resultats gaudisquen de validesa jurídica plena.
Addicionalment, la Generalitat Valenciana ha efectuat un desplegament normatiu d’aquest article plasmat en el Decret 96/1998, de 6 de juliol, pel qual es regula, entre altres, la utilització de les tècniques electròniques, informàtiques i telemàtiques. En aquest decret es fixen les aplicacions sotmeses a aprovació, es detallen els requeriments a cobrir per cadascun dels elements implicats en el tractament de la informació i es dicta el procediment mitjançant el qual un sistema és aprovat i publicat.
Tanmateix, i atesos els criteris fixats en el Decret 96/1998, de 6 de juliol, no es pot arribar al nivell de detall necessari per a refermar les garanties estipulades en aquest, i en diferents articles s’estableix l’obligació d’efectuar un desplegament reglamentari que proporcione l’adequat nivell de concreció als requisits que de forma general s’estableixen en el decret.
Addicionalment, i donat que la gestió dels documents electrònics no es troba totalment resolta, i per tant normalitzada en les aplicacions d’utilització general, procedeix efectuar un desplegament específic, a fi de contemplar la casuística particular del tractament documental.
Per tant, es fa convenient dictar una normativa de desplegament que establisca reglamentàriament, de mode unificat i al nivell de detall necessari, quins són els requisits tècnics i d’organització que proporcionen les garanties estipulades per a la utilització dels mitjans electrònics, informàtics i telemàtics, incloent la gestió dels documents.
La disposició final del Decret 96/1998, de 6 de juliol, autoritza el conseller d’Economia, Hisenda i Administració Pública per a dictar totes les disposicions que siguen calguen per a establir criteris generals en desplegament i execució d’allò que disposat aquest, previ informe de Comité Tècnic per al Desplegament dels Sistemes d’Informació.
Així mateix, l’Ordre de 29 de setembre de 1999, de la Conselleria de Justícia i Administracions Públiques, per la qual es desplega el Decret 91/1999, de 30 de juliol, del Govern Valencià, amb què s’aprova el Reglament Orgànic i Funcional de la Conselleria de Justícia i Administracions Públiques, estableix en el seu article 6:
«La Direcció General per a la Modernització i Racionalització de l’administració Pública, desplega les funcions derivades de les competències previstes en l’article 16 del Reglament Orgànic i Funcional i aquelles altres, excepte les relatives a matèria de personal, atribuïdes a la Subsecretaria per a la Modernització de les Administracions Públiques i a l’anterior Direcció General per a la Racionalització del Sector Públic en les altres disposicions normatives; així mateix, les referències en les mateixes al conseller d’Economia, Hisenda i Administració Pública s’entendran fetes al conseller de Justícia i Administracions Públiques.»
En la seua virtut, i en exercici de les competències que em confereix l’article 35 de la Llei 5/1983, de 30 de desembre, de Govern Valencià
DISPOSE
Article únic
S’aprova el Reglament Tècnic d’Aprovació i Homologació d’Aplicacions i Mitjans de Tractament Automatitzat de la Informació, que figura com annex a la present ordre.
DISPOSICIÓ TRANSITÒRIA
Adequació de suports, mitjans i aplicacions.
Sense perjudici d’allò establit en la normativa estatal, totes les aplicacions aprovades amb anterioritat a la data de publicació de la present disposició disposaran d’un any per a adaptar-se als preceptes del reglament.
No obstant això, per a aquelles aplicacions que tecnològicament no puguen complir algun dels requisits expressats en el present reglament, l’autoritat d’autentificació, i de forma motivada per l’organisme responsable de l’aplicació, i en l’exercici de les funcions reconegudes en l’article 20.b) del Decret 96/1998, de 6 de juliol, podrà ampliar el seu termini d’adaptació en funció de la seua complexitat tècnica, fins a un màxim de tres anys.
DISPOSICIONS FINALS
Primera. Desplegament del reglament
S’autoritza la directora general per a la Modernització i Racionalització de l’administració Pública per a dictar les instruccions oportunes en ordre a la interpretació i aplicació del reglament.
Segona. Entrada en vigor
La present ordre entrarà en vigor al mes de la seua publicació en el Diari Oficial de la Generalitat Valenciana.
València, 3 de desembre de 1999
El conseller de Justícia i Administracions Públiques,
SERAFÍN CASTELLANO GÓMEZ
ANNEX
Reglament Tècnic de Mesures de Seguretat per a l’Aprovació i Homologació d’Aplicacions i Mitjans de Tractament Automatitzat de la Informació
Índex
TÍTOL I
Disposicions generals
Article l. Objecte
Article 2. Àmbit d’aplicació
Article 3. Definicions
TÍTOL II
Mesures tècniques de seguretat i conservació de les aplicacions
CAPÍTOL I
Seguretat de les aplicacions
Article 4. Xifrat
Article 5. Ús del control d’accés
Article 6. Control d’accés. Accessos especials i vigència d’accessos
Article 7. Control d’accés. Contrasenyes
Article 8. Control d’accés. Portes falses
Article 9. Control d’accés. Accessos de terceres parts
Article 10. Control d’accés. Inactivitat del sistema
Article 11. Control d’accés. Sistemes operatius
Article 12. Integritat. Processos amb múltiples actualitzacions
Article 13. Integritat. Informacions confidencials
Article 14. Integritat. Proteccions antivirus
Article 15. Disponibilitat
Article 16. Traçabilitat
Article 17. Comunicacions electròniques de dades
Article 18. Transmissió de contrasenyes
Article 19. Transmissió d’informacions sensibles
Article 20. Autentificació, integritat i no repudi en comunicacions
Article 21. Tercera part de confiança en les comunicacions
CAPÍTOL II
Conservació de la informació
Article 22. Conservació de la informació de gestió
Article 23. Compactació de la informació de gestió
Article 24. Canvis de versions, sistemes operatius o noves aplicacions
Article 25. Conservació de dades personals
CAPÍTOL III
Tractament dels documents electrònics
Article 26. Documents electrònics i aplicacions
Article 27. Accessibilitat dels documents electrònics
Article 28. Característiques dels documents electrònics
Article 29. Codis de validació de documents electrònics
Article 30. Modificació i supressió de documents electrònics
Article 31. Requeriments de les aplicacions
TITOL III
Mesures d’organització aplicables a la seguretat i conservació de les aplicacions
CAPÍTOL I
El sistema de seguretat
Article 32. Del responsable de l’aplicació
Article 33. Del responsable de seguretat
Article 34. Dels usuaris
Article 35. Verificacions de seguretat
Article 36. Gestió del registre de codis d’usuari
Article 37. Drets d’accés d’usuaris
Article 38. Relació d’incidències
CAPÍTOL II
Procediments de seguretat
Article 39. Control d’incidències
Article 40. Alta, modificació i baixa d’usuaris
Article 41. Formació d’usuaris
Article 42. Protecció antivirus
Article 43. Operació de les aplicacions
Article 44. Manteniment d’aplicacions
Article 45. Procediments de contingència
Article 46. Elements de seguretat
Article 47. Supervisió d’elements de seguretat
TÍTOL I
Disposicions generals
Article 1. Objecte
El present reglament té per objecte la regulació, en l’àmbit de la Generalitat Valenciana, de les mesures de seguretat i organització que han de reunir les aplicacions electròniques, informàtiques o telemàtiques, com també el tractament dels documents electrònics en aquestes aplicacions.
Article 2. Àmbit d’aplicació
1. Aquest reglament serà d’aplicació a totes les aplicacions sotmeses al procediment d’aprovació, publicació i homologació establit en el Decret 96/1998, de 6 de juliol, pel qual es regula, entre altres aspectes, la utilització dels sistemes d’informació.
Article 3. Definicions
a) Usuari: subjecte o procés que utilitza una aplicació.
b) Codi d’usuari: codi que l’aplicació utilitza per a identificar un usuari.
c) Contrasenya o clau: informació confidencial, freqüentment constituïda per una cadena de caràcters, que s’utilitza per a l’autentificació d’un usuari.
d) Permisos: nivell de seguretat que proporciona una determinada clau.
e) Clau amb privilegis d’accés: aquelles claus que permeten canviar certs controls de seguretat de l’aplicació.
f) Clau compartida o multiusuari: aquella clau que permet a un grup d’usuaris utilitzar concurrentment l’aplicació usant una mateixa clau.
g) Porta falsa: aquella clau secreta, no registrada en l’aplicació, però que permet superar, total o parcialment, els mecanismes de seguretat del sistema d’informació.
h) Tercera part: persona física o jurídica distinta de l’administració de la Generalitat Valenciana.
i) Sistema de tallafocs: sistema que restringeix i filtra l’accés, efectuat per mitjos telemàtics, a les aplicacions.
j) Contingència: tota aquella situació que supose una alteració de les condicions normals d’explotació de l’aplicació. Inclou des de caigudes de tensió fins a danys irreparables en unitats d’emmagatzemament, passant per saturació de línies de comunicacions
k) Procés informàtic: programa o conjunt de programes informàtics pertanyents a una aplicació, que produeixen un resultat concret.
l) Sistema operatiu: programa o conjunt de programes informàtics de nivell bàsic, que permeten la interacció entre els equips físics i les aplicacions.
m) Servidor d’aplicació: tots els sistemes, equips i mitjans que suporten l’execució d’una aplicació, sempre que la seua arquitectura permeta la utilització simultània per més d’un usuari.
n) Virus informàtic: programa informàtic la finalitat del qual consisteix en alguna de les següents funcions:
– Alterar el funcionament dels equips.
– Destruir la informació existent en els suports d’emmagatzemament.
ñ) Salvament: operació consistent en extraure una còpia de les dades actuals d’una aplicació, des del dispositiu d’emmagatzemament habitual a un altre dispositiu diferent, al fi de garantir la conservació de la informació.
o) Compactació: procés mitjançant el qual s’eliminen aquelles dades no essencials de l’aplicació. És un procés que s’executa amb la finalitat d’estalviar espai d’emmagatzemament. La informació compactada pot mantenir-se en l’equip o bé pot ser salvada i eliminada d’aquest.
p) Tipus de documents electrònics: s’entén cadascun dels distints tipus de documents que intervenen en un expedient individual. Per tant, la distinció és funcional per la seua naturalesa administrativa, no pel seu format electrònic.
q) Alteració de documents: s’entén que un document electrònic és alterat quan es canvia el contingut d’aquest, és a dir, quan es canvia aquell que substancia l’acte administratiu, sense perjudici que tecnològicament puguen modificar-se alguns atributs de l’entitat electrònica que suporta el contingut del mateix, atributs que no afecten el contingut jurídic del document.
TÍTOL II
Mesures tècniques de seguretat
i conservació de les aplicacions
CAPÍTOL I
Seguretat de les aplicacions
Article 4. Xifrat
1. Els algoritmes de xifrat que s’empren per a garantir l’autenticitat, integritat i confidencialitat de les informacions, així com de les seues transmissions, hauran de basar-se, quan tecnològicament es troben contemplades, en normes establides per AENOR o per algun dels organismes reconeguts per aquest organisme nacional.
2. Quan no puga emprar una normativa establida per AENOR, o per algun dels organismes reconeguts per aquest organisme nacional, l’autoritat autentificadora aprovarà l’algoritme de xifrat empleat.
3. Els algoritmes de xifrat utilitzats per l’aplicació han de ser publicats juntament amb les característiques d’aquesta.
Article 5. Ús del control d’accés
Per a poder usar una aplicació caldrà introduir o teclejar, si més no, la contrasenya que l’usuari posseïsca, sense perjudici de la utilització d’altres mecanismes addicionals que incrementen el nivell de seguretat de l’aplicació.
Article 6. Control d’accés. Accessos especials i vigència d’accessos
1. L’aplicació no ha de permetre la utilització de claus compartides o multiusuaris, per tant la clau ha de ser un identificador únic, personal i intransferible de l’usuari.
2. L’aplicació posseirà punts d’accés independents del repte de les funcionalitats de l’aplicació per a que els usuaris amb privilegis especials, aquells que permeten alterar certs controls de seguretat, puguen realitzar les seues funcions de seguretat.
3. L’aplicació avisarà, per a procedir a la seua eventual eliminació, d’aquells codis d’usuari que no hagen sigut utilitzats en el termini màxim de tres mesos.
4. Així mateix, en aquelles aplicacions en què l’usuari puga canviar lliurement la seua contrasenya, el sistema avisarà d’aquelles claus d’accés que es troben vençudes.
Article 7. Control d’accés. Contrasenyes
1. L’aplicació no ha de mostrar la contrasenya quan s’estiga teclejant
2. L’aplicació emmagatzemarà les contrasenyes mitjançant algoritmes de xifrat. Els arxius on es guarden les contrasenyes seran distints dels que contenen dades. L’aplicació no contindrà l’algoritme de desxifrat de les contrasenyes.
3. Les aplicacions que permeten a l’usuari escollir la seua pròpia contrasenya han de realitzar els controls següents:
a) Obligarà que les contrasenyes posseïsquen una longitud mínima de sis caràcters, així com la inclusió de l’algun tipus de caràcter distint de l’alfabètic.
b) Forçarà els usuaris a canviar les contrasenyes cada 3 mesos, com a màxim.
c) La contrasenya proporcionada inicialment a l’usuari es considerarà provisional i obligarà al seu canvi en la primera connexió a l’aplicació.
d) Han d’evitar la repetició de contrasenyes.
Article 8. Control d’accés: portes falses
Les aplicacions no hauran de posseir algoritmes o mecanismes que permeten la utilització de portes falses, com mitjans excepcionals d’accés al sistema d’informació.
Article 9. Control d’accés: accessos de terceres parts
1. Els sistemes, o servidors d’aplicació, hauran d’estar protegits mitjançant un sistema de tallafocs que restringisca els accessos als estrictament necessaris, en el cas de comunicacions amb terceres parts.
2. En cap dels casos, els sistemes tallafocs s’ubicaran en les mateixes màquines on residisquen les dades o les aplicacions.
Article 10. Control d’accés: inactivitat del sistema
1. En la mesura en què tecnològicament siga factible, les aplicacions, o els mitjans que les suporten, posseiran mecanismes que desconnecten l’accés de l’usuari a l’aplicació si el mateix no hi ha interactuat amb l’aplicació o amb els mitjans que la suporten, en el termini establit pel manual de seguretat de l’aplicació.
2. En aquells casos particulars en què aquesta mesura no s’implante directament sobre l’aplicació, sinó sobre altres mitjans auxiliars que suporten la seua execució (sistemes operatius, salvapantalles, etc.), aquest fet vindrà referit en el manual d’instal·lació de l’aplicació, com també en el manual de seguretat d’aquesta.
Article 11. Control d’accés: sistemes operatius
En aquells casos en què els sistemes operatius, sistemes de suport, o qualsevol altra classe d’eina, permeten accedir a la informació emmagatzemada per les aplicacions, sense necessitat de passar els mecanismes de seguretat d’aquestes, s’hauran d’implantar les mesures tècniques o d’organització necessàries per a restringir l’accés a la informació a les persones realment autoritzades.
Article 12. Integritat. Processos amb múltiples actualitzacions
Les aplicacions que executen transaccions o processos on es produïsquen múltiples actualitzacions de dades, les quals es troben relacionades entre si, hauran de posseir eines o mecanismes que asseguren la integritat d’aquestes dades, relacionades en el cas que es produïsca una fallada de procés i no es puga completar la transacció.
Article 13. Integritat. Informacions confidencials
En aquells supòsits en què l’anàlisi de riscos determine que la informació qualificada com a confidencial no es troba suficientment protegida amb el control d’accessos, dita informació s’haurà de xifrar sobre el suport d’emmagatzemament.
Article 14. Integritat. Proteccions antivirus
1. Quan les aplicacions s’implanten sobre servidors d’aplicació que potencialment pogueren ser atacats per virus informàtics, dits servidors hauran de posseir proteccions antivirus residents en totes les unitats de procés que intervinguen en l’execució del sistema d’informació.
2. En aquells casos on els equips dels usuaris pogueren potencialment ser atacats per virus informàtics, aquests equips han de posseir proteccions antivirus.
3. El manual de seguretat de l’aplicació haurà de dedicar un capítol als procediments de protecció antivirus, tant d’operació com d’usuari.
Article 15. Disponibilitat
Els servidors d’aplicació han de complir les mesures següents:
1. Els equips que suporten determinats processos, la interrupció accidental dels quals puga provocar alteració o pèrdua de dades o documents administratius, han d’estar protegits contra fallades de subministrament elèctric mitjançant sistemes d’alimentació ininterrompuda.
2. Els equips que suporten processos especialment crítics han de ser equips d’alta disponibilitat, que posseïsquen mecanismes tolerants a les fallades.
3. Els equips han de mantenir-se d’acord amb les especificacions dels subministradors de servei.
4. Les àrees físiques on es troben situats els equips han de trobar-se convenientment, i han d’assegurar-se front a riscos derivats d’accessos no desitjats així com a amenaces d’entorn, tals com focs, fums, aigua, etc.
Article 16. Traçabilitat
Les aplicacions han d’estar dotades de pistes d’auditories, que hauran de registrar el codi d’usuari, data, hora i procés mitjançant el qual s’ha realitzat un alta, modificació o baixa de qualsevol informació que substancie l’exercici d’una potestat o d’aquella informació qualificada com a sensible.
Article 17. Comunicacions electròniques de dades
Quan es transmeten informacions o dades, l’aplicació o els mitjans i suports emprats per a la transmissió hauran de posseir, en el supòsit que les xarxes de transmissió no es consideren totalment segures, mecanismes que criptografien, en tot o en part, el contingut de la transmissió. Aquelles dades considerades confidencials se criptografiaran en la seua totalitat.
Article 18. Transmissió de contrasenyes
Quan es transmeten contrasenyes, o en general qualsevol informació que permeta garantir la integritat, autenticitat i confidencialitat de les transmissions, dits codis o informacions es transmetran criptografiats en la seua totalitat.
Article 19. Transmissió d’informacions sensibles
Quan les informacions sensibles han de ser transmeses caldrà criptografiar-les prèviament.
Article 20. Autentificació, integritat i no repudi en comunicacions
1. L’aplicació, o bé els mitjans o suports emprats en la transmissió, haurà de ser capaç de proveir de certificats d’autenticitat, emesos per l’autoritat autentificadora, per a totes aquelles comunicacions en què el receptor necessite garanties de la identitat de l’altra part i que la transmissió no ha sigut alterada.
2. Per a aquelles aplicacions que requerisquen la garantia addicional del no repudi, l’aplicació, o bé els mitjans o suports emprats en la transmissió, hauran d’incorporar mecanismes que asseguren la irrenunciabilitat de la participació del transmissor i del receptor, quan es produïsquen comunicacions.
Article 21. Tercera part de confiança en les comunicacions
Les aplicacions, o bé els mitjans o suports emprats en la transmissió, gestionaran l’assignació de claus públiques, claus privades i els serveis de certificat a través dels mitjans i suports disposats per l’autoritat autentificadora, per a aquests fins.
CAPÍTOL II
Conservació de la informació
Article 22. Conservació de la informació de gestió
1. Es considera informació de gestió aquella que no ha sigut traspassada a altres arxius, centrals o històrics, en funció de la normativa de gestió documental aplicable.
2. Els servidors d’aplicació hauran de comptar amb un procés de salvament periòdic de les dades de les aplicacions. Aquests processos garantiran que el període màxim transcorregut, entre que una dada és canviada i salvada, no depasse els set dies.
3. Així mateix, hauran de comptar amb un mecanisme de reincorporació d’informació prèviament salvada, a executar en cas que es produïra una deterioració en el suport físic d’emmagatzemament de la informació.
4. L’aplicació haurà de posseir un procediment escrit en què es dictaran les instruccions necessàries per al salvament i la recuperació de la informació, així com el període de salvament.
5. En relació a la funcionalitat de l’aplicació, els informes preceptius d’aquesta, segons redacció de l’article 22.4 a) del Decret 96/1998, de 6 de juliol, hauran de definir el moment o termini en què, en absència d’impugnacions, la informació manca de vigència administrativa, segons definició de l’article 3 del Decret 57/1984, de 21 de maig.
6. Amb una periodicitat mínima anual, s’efectuarà un procediment de recuperació d’informació salvada, a fi de verificar que el procés de salvament s’està efectuant correctament.
Article 23. Compactació de la informació de gestió
1. Quan no es trobe garantit que el servidor d’aplicació puga mantenir les dades de gestió activament, llavors l’aplicació posseirà un procés de compactació que haurà de permetre eliminar del suport d’emmagatzemament, i amb una periodicitat donada, aquelles dades que no siguen utilitzades per a l’exercici de potestats. Per tant, el procés de compactació extraurà només aquella informació que substancie el contingut d’actes administratius.
2. En el cas que les dades compactades siguen, alhora, salvades en en un altre suport d’emmagatzemament, i, tot seguit, siguen eliminades del suport de gestió, haurà d’existir un altre procés que permeta reincorporar les dades compactades, de forma que siguen llegibles per l’aplicació.
3. Les dades compactades han de mantenir-se accessibles als usuaris de l’aplicació, fins que dita informació adquirisca el caràcter d’històrica en funció de la normativa aplicable.
4. La informació que pertanya a expedients actius, no arxivats, no estarà subjecta al procés de compactació.
5. L’aplicació haurà de comptar amb algun mecanisme que permeta marcar els expedients que es troben impugnats. Aquests expedients no seran sotmesos a compactació
Article 24. Canvis de versions, sistemes operatius o noves aplicacions
1. Quan l’aplicació siga substituïda per una nova aplicació, aquesta última haurà de posseir els mecanismes necessaris per a incorporar tota la informació existent fins aqueix moment, de gestió i compactada, al seu nou format. Només es permetrà la no incorporació, o la incorporació parcial, quan es trobe garantit el manteniment dels mitjans i suports que permeten accedir a la informació no incorporada.
2. Si una aplicació deixa d’utilitzar-se, i el seu funcionalitat no és substituïda per una nova aplicació, s’estarà als següents casos:
Si el manteniment dels suports i mitjans que executen dita aplicació es troba garantit en el termini en què les dades han de ser conservades, tant l’aplicació com els suports hauran de ser mantinguts, com també la documentació necessària per a l’explotació del sistema.
b) Si el manteniment no es troba garantit, aleshores les dades bàsiques de l’aplicació de caràcter no històric hauran de ser traspassades a un nou format, la durabilitat del qual es trobe garantida
Article 25. Conservació de dades personals
1. Les dades personals especialment sensibles, segons es defineixen en l’article 7 de la Llei Orgànica 5/1992, de 29 d’octubre, que reflectisquen situacions transitòries, no seran incloses en el conjunt d’informació que sofrisca el procés de compactació.
2. Les dades personals referides en el paràgraf anterior hauran de ser eliminades completament del suport d’emmagatzemament, en el moment en què dita situació haja finalitzat.
CAPÍTOL III
Tractament dels documents electrònics
Article 26. Documents electrònics i aplicacions
1. L’aplicació ha de recollir entre les seues pròpies funcionalitats, si fa el cas, el tractament dels documents electrònics pertanyents als procediments administratius gestionats.
2. S’haurà de publicar els distints tipus de documents electrònics que són gestionats per l’aplicació, relacionant-los amb els seus respectius procediments, així com el mode d’accés als mateixos, si fa el cas.
3. Les especificacions de l’aplicació hauran de detallar l’arquitectura adoptada per al tractament dels distints tipus de documents gestionats, incloent les possibilitats de consulta i transmissió.
Article 27. Accessibilitat dels documents electrònics
Les aplicacions que gestionen documents electrònics hauran de posseir connectivitat a la Xarxa Corporativa de la Generalitat Valenciana, de manera que qualsevol persona, amb els permisos adequats, puga consultar aquests documents.
Article 28. Característiques dels documents electrònics
Un document electrònic ha de reunir les característiques següents:
a) Ha de trobar-se en la ubicació electrònica assignada al document
b) Ha de contenir o posseir un codi de validació, segons s’especifica en l’article 29.
c) El seu format ha de pertànyer a algun dels establits en els estàndards informàtics de la Generalitat Valenciana, aprovats pel Comité Tècnic per al Desplegament dels Sistemes d’Informació
Article 29. Codis de validació dels documents electrònics
1. Els codis de validació dels documents electrònics han d’haver sigut generats mitjançant tècniques de xifrat, a partir de les següents dades, com a mínim:
a) Contingut del document electrònic.
b) Data i hora de generació del document electrònic.
2. Els codis de validació es podran guardar físicament de les maneres següents:
a) Com a part del contingut del document, addicionalment a la informació que substància l’acte administratiu.
b) Com una informació annexa, el suport de la qual posseirà una relació biunívoca amb el suport que conté al document.
c) En un camp de la base de dades controlades per l’aplicació que gestiona els documents electrònics.
Article 30. Alteració i supressió de documents electrònics
1. Els documents electrònics no es podran alterar en cap cas.
2. Aquests mateixos documents electrònics només es podran suprimir, una vegada finalitzat el procediment i mitjançant els processos de conservació d’informació establits, sempre que es respecte allò establit en l’article 31.
3. Igualment, ni els suports ni els camps de base de dades on s’emmagatzemen els codis de validació, segons s’estableix en l’article 29, podran ser objecte d’alteració. Només podran ser eliminats, en aquests mateixos processos de conservació, quan es mantinga la coherència de la informació entre els documents i els seus codis de validació.
Article 31. Requeriments de les aplicacions
Les aplicacions que gestionen documents electrònics han de posseir enllaços amb aquests, de forma que es complisca el següent:
a) L’enllaç s’ha d’establir en el moment i en el tràmit en què el document és generat
b) Si un document és substituït per un altre, es mantindrà l’enllaç a ambdós documents, indicant quin és el document activament i actualment vàlid. Aquest punt no s’aplicarà quan aquesta substitució es produïsca com a rectificació d’errors materials, de fet o aritmètics, en concordança amb allò que s’ha establit en l’article 105 de la Llei 30/1992, de 26 de novembre.
TÍTOL III
Mesures d’organització aplicables a la seguretat
i conservació de les aplicacions
CAPÍTOL I
El sistema de seguretat
Article 32. Del responsable de l’aplicació
El responsable de l’aplicació és una persona, pertanyent a la unitat, que utilitzarà l’aplicació per a l’exercici de les seues potestats, designat per aquesta mateixa unitat abans de l’inici de l’explotació de l’aplicació, i que posseeix les següents funcions:
1. Designar i autoritzar els usuaris que han d’utilitzar l’aplicació.
2. Assignar els accessos a què es permet a cada usuari, motivant aquests.
3. Autoritzar aquelles cessions de dades no previstes en l’aplicació, en la forma legalment prevista.
4. Definir els terminis en què la informació deixa de tindre vigència administrativa, podent ampliar, de forma motivada, el moment o termini en què la informació corresponent a determinats expedients deixa de tindre vigència administrativa, degut a l’existència d’impugnacions o al requeriment de l’autoritat judicial o d’algun dels òrgans de control de l’administració.
5. Autoritzar, per escrit, l’inici de l’explotació de l’aplicació.
Article 33. Del responsable de seguretat
1. El responsable de seguretat és aquella persona la missió de la qual consisteix a garantir la seguretat d’explotació d’una aplicació.
2. El responsable de seguretat serà designat per l’autoritat autentificadora, a proposta de la Unitat Informàtica corresponent, d’acord amb l’article 20.a del Decret 96/1998, de 6 de juliol.
3. El responsable de seguretat ha d’haver intervingut en el procediment d’aprovació de l’aplicació.
4. El responsable de seguretat ha de ser designat abans del moment en què comence l’explotació de l’aplicació.
5. El responsable de seguretat ha de rebre la formació adequada en la gestió de seguretat d’aqueixa aplicació concreta.
6. L’aplicació no es posarà en marxa sense l’autorització expressa, i per escrit, del responsable de seguretat.
Article 34. Dels usuaris
Els usuaris de les aplicacions, en l’ús de les mateixes per a l’exercici de les seues funcions, tenen les obligacions mínimes següents:
a) Responsabilitat en el manteniment de les claus d’accés. L’usuari té el deure de guardar secret en relació amb aquestes.
b) Notificar al responsable de seguretat quan el secret de la seua contrasenya s’haja vist compromesa.
c) Obligació de tancar l’aplicació quan s’abandone el lloc de treball.
d) Obligació de comunicació de les incidències de seguretat al responsable de seguretat
Article 35. Verificacions de seguretat
1. El responsable de seguretat ha de verificar l’existència d’una sèrie de procediments de seguretat i conservació, abans d’autoritzar l’arrancada d’una aplicació.
2. Aquests procediments, que han de figurar per escrit, són els següents:
a) Mecanismes de seguretat d’usuari.
b) Procediments de salvament i de recuperació.
c) Procediments de contingència.
d) Procediments de compactació, si fa el cas.
3. En aquests procediments cal especificar, com a mínim, el següent:
a) Relació de tasques a executar i dels processos implicats.
b) Resultat de cada tasca i procés.
c) Responsable de cadascuna de les tasques.
d) Periodicitat.
e) Documentació a complimentar en cada operació.
Article 36. Gestió del registre de codis d’usuari
1. En compliment d’allò establit en l’article 21 del Decret 96/1998, de 6 de juliol, el responsable de seguretat ha de mantenir un registre dels codis d’usuari de l’aplicació.
2. No es podrà donar d’alta un usuari, o modificar els drets d’accés d’aquest a l’aplicació, si prèviament no ha sigut donat d’alta en el registre.
3. El responsable de seguretat haurà de mantenir actualitzat aquest registre, mantenint la història del mateix a través de les següents actuacions:
a) A partir de les notificacions del responsable de l’aplicació.
b) A partir dels avisos de l’aplicació de codis d’accés vençuts.
c) Validació periòdica, amb el concurs del responsable d’aplicació, dels usuaris de l’aplicació, definits així com els seus nivells d’accés.
4. Així mateix, realitzarà les actuacions corresponents en l’aplicació, a fi d’actualitzar correctament els drets d’accés de cada usuari.
5. Amb una periodicitat trimestral, el responsable de seguretat haurà de sotmetre, a revisió exhaustiva, tots els permisos amb privilegis existents en l’aplicació.
Article 37. Drets d’accés d’usuaris
D’acord amb les especificacions de disseny, i amb les instruccions de la unitat competent, el responsable de seguretat ha de crear i mantenir actualitzada una normativa escrita que definisca els drets d’accés a l’aplicació de cada usuari o grup d’usuaris.
Article 38. Relació d’incidències
1. El responsable de seguretat haurà de mantenir una relació d’incidències on es recullen totes aquelles situacions i esdeveniments que hagen suposat una minva de la seguretat de l’aplicació en un moment donat. En aquesta relació han de figurar les dades següents:
a) Codi(s) d’usuari(s) involucrats en la incidència.
b) Procés i funció involucrats.
c) Dades involucrades.
d) Descripció de la incidència.
e) Actuacions realitzades per a evitar la seua repetició.
2. El responsable de seguretat haurà de mantenir actualitzada aquesta relació a partir de les incidències que detecte o bé per les incidències comunicades, bé per les unitats competents o els seus usuaris, bé pel responsable de la unitat d’informàtica a què es troben adscrits els servidors d’aplicació.
3. El responsable de seguretat notificarà les incidències de seguretat a l’autoritat autentificadora.
Article 39. Control d’incidències
1. El responsable de seguretat efectuarà una anàlisi d’incidències de seguretat, amb una periodicitat mensual. Els resultats d’aquesta anàlisi, així com les accions que es decidisquen iniciar com a conseqüència de la mateixa, seran notificats, per escrit a l’autoritat autentificadora. A més, es remetran al responsable d’aplicació aquelles incidències relacionades amb el seu àmbit d’actuació.
2. L’autoritat autentificadora efectuarà una anàlisi de totes les incidències ocorregudes en el seu àmbit d’actuació, amb una periodicitat trimestral.
3. Com a conseqüència d’aquesta anàlisi, i quan s’estime oportú, l’autoritat autentificadora emetrà circulars dirigides a tots els responsables de seguretat, on es proporcionaran instruccions conduents a elevar el nivell de seguretat de les aplicacions.
CAPÍTOL II
Procediments de seguretat
Article 40. Alta, modificació i baixa d’usuaris
1. El responsable de l’aplicació comunicarà al responsable de seguretat les altes, modificacions i baixes d’usuaris, i li proporcionarà la informació necessària per a complimentar el registre d’usuaris.
2. Cada nou usuari de l’aplicació ha de firmar un document, denominat credencial de seguretat, que formalitze el seu accés a l’aplicació, i mitjançant el qual reconega la comprensió i acceptació de les condicions d’accés. En aquest document s’han d’explicitar els següents punts
2.1 A nivell general de l’aplicació
a) Totes les obligacions que es relacionen en l’article 34.
b) Normes particulars de seguretat de l’aplicació.
2.2 A nivell particular de l’usuari, o bé per tipus d’usuari:
a) Drets d’accés, açò és, funcionalitats i dades a què es troba autoritzat.
b) Drets d’accés amb privilegis, si fa el cas.
3. En el moment en què l’usuari firme la credencial, se li entregaran les seus claus d’accés. Una còpia del document li serà entregada a l’usuari.
4. Qualsevol canvi en les autoritzacions de seguretat comportarà l’emissió i firma d’una nova credencial.
Article 41. Formació d’usuaris
1. La formació en qüestions de seguretat, amb especial menció a la formació en mecanismes antivirus, ha de ser proporcionada com una part integrant de la formació en l’aplicació
2. El responsable de seguretat comprovarà, mitjançant el mètode que estime més adient, que els usuaris que reben la credencial coneixen les mesures de seguretat de l’aplicació
Article 42. Protecció antivirus
1. Sense perjudici que les aplicacions posseïsquen mecanismes antivirus, els usuaris que posseïsquen estacions de treball tipus PC hauran de comprovar que el seu equip posseeix instal·lat un sistema antivirus i que funciona correctament. El responsable de seguretat prestarà suport als usuaris per a realitzar aquesta comprovació.
2. D’altra banda, el responsable de seguretat verificarà que les versions dels productes antivirus es troben correctament actualitzades. Es considerarà que succeeix una incidència quan el programa antivirus posseïsca una antiguitat superior a 6 mesos.
Article 43. Operació de les aplicacions
1. El responsable de seguretat verificarà que totes les tasques d’operació de l’aplicació es realitzen en temps i forma. S’entén per tasques d’operació les següents:
a) Salvament periòdic de dades.
b) Compactació de dades, si fa el cas.
2. En cas d’incompliment d’alguna d’aquestes, haurà de considerar aquest fet com una incidència, i com tal registrar-la.
3. Una còpia d’aquesta incidència, addicionalment al preceptiu enviament a l’autoritat autentificadora, serà enviada al responsable de la unitat d’informàtica en què es troben adscrits els servidors d’aplicació.
Article 44. Manteniment d’aplicacions
1. El responsable de seguretat haurà d’autoritzar prèviament la substitució de programes o elements de l’aplicació, quan aquests impliquen alteració de la funcionalitat de l’aplicació, en els termes establits en l’article 22.7 del Decret 96/1998.
2. Amb caràcter previ al canvi, el responsable de seguretat haurà d’aprovar els informes elaborats pel responsable del canvi, on s’especificarà i acreditarà, si més no, el següent:
a) Motiu del canvi.
b) Realització de proves que confirmen el bon funcionament dels programes o elements substituents.
c) Permanència de les mesures de seguretat que l’aplicació posseïsca.
d) Responsable/s del canvi.
3. El responsable de seguretat haurà de portar una relació de totes les substitucions de programes o elements de l’aplicació, registrant el moment en què aquests comencen a ser operatius.
Article 45. Procediment de contingència
1. Cada usuari ha de disposar d’una còpia del procediment de contingència, en aquells aspectes que l’afecten, en un lloc accessible. Així mateix, ha d’haver sigut instruït sobre les actuacions que ha d’executar en cada situació prevista.
2. Les situacions en què es produïsca una contingència han de ser registrades com una incidència.
3. Quan el responsable de seguretat ho estime oportú, podrà realitzar simulacres de situacions de contingència, a fi de verificar l’execució de les respostes adequades en cada cas.
4. Els resultats no previstos d’aquest simulacre han de registrar-se com a incidències.
Article 46. Elements de seguretat
1. Les ubicacions físiques on es troben els servidors d’aplicacions hauran de trobar-se en àrees tancades o àrees de seguretat.
2. La porta d’accés a aquesta àrea haurà de trobar-se permanentment tancada, i amb mecanismes per al control d’accessos a aquesta.
3. Aquests dispositius poden ser substituïts, alternativament, per un sistema d’accés mitjançant codis personals.
4. Els materials perillosos i/o combustibles han d’emmagatzemar-se en l’exterior de l’àrea i a una distància de seguretat de la sala d’ordinadors.
5. Els dispositius de salvament de dades (cintes, cassettes, etc.) s’emmagatzemaran en armaris ignífugs, preferentment en altres locals diferents a les àrees de seguretat. Aquests armaris estaran tancats de forma segura.
6. Ha d’instal·lar-se en l’àrea un adequat equipament de seguretat, com ara sistemes d’extinció, detectors de fums, etc.
7. El personal extern, que haja d’efectuar treballs en l’interior de l’àrea de seguretat, ha de trobar-se degudament autoritzat i identificat. El responsable de l’àrea estendrà una acreditació a favor d’aquest personal.
8. El personal extern, no acreditat, mai romandrà a soles en l’interior de l’àrea de sistemes, sense la presència, almenys, d’una persona habilitada per a aquesta àrea.
Article 47. Supervisió d’elements de seguretat
1. El responsable de seguretat revisarà, en aquelles aplicacions del seu àmbit, que els locals i els servidors d’aplicacions al servei d’aquelles compleixen els requisits de seguretat que s’estableixen en aquestes normes.
2. En cas d’incompliment d’alguna d’aquestes, haurà de considerar aquest fet com una incidència, i com a tal registrar-se.

linea
Mapa web