Reglamento de seguridad de la información de la ... · El reglament (capítol II) defineix un...
Transcript of Reglamento de seguridad de la información de la ... · El reglament (capítol II) defineix un...
![Page 1: Reglamento de seguridad de la información de la ... · El reglament (capítol II) defineix un conjunt de 39 normes sobre 8 aspectes diferents. • Les normes pretenen establir unes](https://reader036.fdocuments.ec/reader036/viewer/2022062604/5fb6c0b5d926e44ac36015f1/html5/thumbnails/1.jpg)
Comentaris a les normes establides en el Reglament
Reglament de seguretat de la informació en la utilització de mitjans electrònics de la Universitat de València(ACGUV 227/2014)
Servei d’Informàtica (Universitat de València)
![Page 2: Reglamento de seguridad de la información de la ... · El reglament (capítol II) defineix un conjunt de 39 normes sobre 8 aspectes diferents. • Les normes pretenen establir unes](https://reader036.fdocuments.ec/reader036/viewer/2022062604/5fb6c0b5d926e44ac36015f1/html5/thumbnails/2.jpg)
• El Reial Decret 3/2010 defineix l’Esquema Nacional de Seguretat de la informació en l'àmbit de l’administracióelectrònica (ENS) i estableix que les administracionspúbliques han de disposar d'un reglament de seguretat de la informació.
• La Universitat de València es va adaptar en 2014 als requisits del ENS i i va aprovar el seu reglament:
Reglament de seguretat de la informació en la utilitzacióde mitjans electrònics (ACGUV 227/2014)
Exigència per a totes les AP
Abril, 2016 2
![Page 3: Reglamento de seguridad de la información de la ... · El reglament (capítol II) defineix un conjunt de 39 normes sobre 8 aspectes diferents. • Les normes pretenen establir unes](https://reader036.fdocuments.ec/reader036/viewer/2022062604/5fb6c0b5d926e44ac36015f1/html5/thumbnails/3.jpg)
Text del reglament
DESCARREGAR
Reglament de seguretat de la informació en la utilització de mitjans electrònics de la Universitat de València, ACGUV 227/2014:
Pàgina web de la Secr. General de la UV
Abril, 2016 3
![Page 4: Reglamento de seguridad de la información de la ... · El reglament (capítol II) defineix un conjunt de 39 normes sobre 8 aspectes diferents. • Les normes pretenen establir unes](https://reader036.fdocuments.ec/reader036/viewer/2022062604/5fb6c0b5d926e44ac36015f1/html5/thumbnails/4.jpg)
• El reglament és un instrument al servei de la Universitat i de tots els usuaris, que deu:
Proporcionar confiança en els sistemes.
Preservar l'exercici de les funcions i responsabilitats pròpies de cada usuari.
Garantir la qualitat i veracitat de la informació objecte de tractament.
4Abril, 2016
Plantejament del Reglament
![Page 5: Reglamento de seguridad de la información de la ... · El reglament (capítol II) defineix un conjunt de 39 normes sobre 8 aspectes diferents. • Les normes pretenen establir unes](https://reader036.fdocuments.ec/reader036/viewer/2022062604/5fb6c0b5d926e44ac36015f1/html5/thumbnails/5.jpg)
5Abril, 2016
Confiança del ciutadà
etc.
Dipositen informació
Confiança en un correcte tractamentde la seua informació
![Page 6: Reglamento de seguridad de la información de la ... · El reglament (capítol II) defineix un conjunt de 39 normes sobre 8 aspectes diferents. • Les normes pretenen establir unes](https://reader036.fdocuments.ec/reader036/viewer/2022062604/5fb6c0b5d926e44ac36015f1/html5/thumbnails/6.jpg)
• Usuaris dels sistemes d‘informació de la Universitat de València sota l'abast del ENS:
Qualsevol empleat públic de la Universitat de València.
Membres de comissions o òrgans relacionats amb la Universitat de València.
Personal de prestadors de serveis, entitats col·laboradores o qualsevol un altre amb algun tipus de vinculació amb la Universitat de València quan utilitze o tinga accés als seus sistemes d‘informació.
6Abril, 2016
A qui afecta el Reglament?
![Page 7: Reglamento de seguridad de la información de la ... · El reglament (capítol II) defineix un conjunt de 39 normes sobre 8 aspectes diferents. • Les normes pretenen establir unes](https://reader036.fdocuments.ec/reader036/viewer/2022062604/5fb6c0b5d926e44ac36015f1/html5/thumbnails/7.jpg)
• El reglament (capítol II) defineix un conjunt de 39 normes sobre 8 aspectes diferents.
• Les normes pretenen establir unes bonespràctiques en el nostre treball diari, que es poden estendre a altres sistemes d'informacióencara que no siguen els inclosos en l’ENS.
7Abril, 2016
Normes de seguretat
![Page 8: Reglamento de seguridad de la información de la ... · El reglament (capítol II) defineix un conjunt de 39 normes sobre 8 aspectes diferents. • Les normes pretenen establir unes](https://reader036.fdocuments.ec/reader036/viewer/2022062604/5fb6c0b5d926e44ac36015f1/html5/thumbnails/8.jpg)
CAPÍTOL II. NORMES DE SEGURETAT
Comentaris sobre
8Abril, 2016
![Page 9: Reglamento de seguridad de la información de la ... · El reglament (capítol II) defineix un conjunt de 39 normes sobre 8 aspectes diferents. • Les normes pretenen establir unes](https://reader036.fdocuments.ec/reader036/viewer/2022062604/5fb6c0b5d926e44ac36015f1/html5/thumbnails/9.jpg)
Article Aspecte
4 Controls d'accés físic i lògic
5 Ús, manteniment i destrucció de dispositius o suports que continguen informació protegida
6 Eixides i entrades de dades
7 Correu electrònic i xarxa corporativa
8 Recursos informàtics
9 Incidències de seguretat
10 Informació institucional i dades personals
11 Publicació en web
Organització de les normes
Abril, 2016 9
![Page 10: Reglamento de seguridad de la información de la ... · El reglament (capítol II) defineix un conjunt de 39 normes sobre 8 aspectes diferents. • Les normes pretenen establir unes](https://reader036.fdocuments.ec/reader036/viewer/2022062604/5fb6c0b5d926e44ac36015f1/html5/thumbnails/10.jpg)
Article 4Controls d'accés físic i lògic
Abril, 2016 10
![Page 11: Reglamento de seguridad de la información de la ... · El reglament (capítol II) defineix un conjunt de 39 normes sobre 8 aspectes diferents. • Les normes pretenen establir unes](https://reader036.fdocuments.ec/reader036/viewer/2022062604/5fb6c0b5d926e44ac36015f1/html5/thumbnails/11.jpg)
• No s'ha de permetre l'accés de personal extern (no autoritzat) a les zones que continguen infraestructures TIC o documentació amb informació protegida.
Article 4. Normes 1-3
Es tracta d'evitar la manipulació dels equips i descàrreguesd'informació mitjançant:
Instal·lació de programari maliciós en els sistemes. Manipulació dels sistemes de comunicació. Ús de dispositius d'emmagatzematge portàtil. Fotografies de documents, etc.
Resum
Comentari
Abril, 2016 11
![Page 12: Reglamento de seguridad de la información de la ... · El reglament (capítol II) defineix un conjunt de 39 normes sobre 8 aspectes diferents. • Les normes pretenen establir unes](https://reader036.fdocuments.ec/reader036/viewer/2022062604/5fb6c0b5d926e44ac36015f1/html5/thumbnails/12.jpg)
• Es requereix identificació personal en l'accésals sistemes informàtics de la UV.
Article 4. Normes 4-5
La identificació proporciona confiança al personal de la UV i al ciutadà:
El personal solament és responsable de la seuaactivitat.
El ciutadà ha de saber qui i quan va accedir a la seuainformació.
Resum
Comentari
Abril, 2016 12
![Page 13: Reglamento de seguridad de la información de la ... · El reglament (capítol II) defineix un conjunt de 39 normes sobre 8 aspectes diferents. • Les normes pretenen establir unes](https://reader036.fdocuments.ec/reader036/viewer/2022062604/5fb6c0b5d926e44ac36015f1/html5/thumbnails/13.jpg)
• Cal prendre mesures en el treball quotidiàper a dificultar l'accés a la informació a terceres persones.
Article 4. Normes 6-8
Es tracta d'evitar que terceres persones puguen:
Accedir al nostre ordinador de treball fent ús del nostre usuari personal.
Visualitzar o registrar informació sobre altres usuaris(ciutadans) mostrada en l'ordinador de treball.
Resum
Comentari
Abril, 2016 13
![Page 14: Reglamento de seguridad de la información de la ... · El reglament (capítol II) defineix un conjunt de 39 normes sobre 8 aspectes diferents. • Les normes pretenen establir unes](https://reader036.fdocuments.ec/reader036/viewer/2022062604/5fb6c0b5d926e44ac36015f1/html5/thumbnails/14.jpg)
• S'han de protegir les credencials d'identitat(usuari/contrasenya) que permeten accedirals recursos TIC de la UV.
Article 4. Normes 9-12
Les credencials personals ens identifiquen en els sistemes i, per tant, ens fan responsables de les accions realitzades amb aquestes.
És molt important protegir-les, especialment la contrasenya, i no cedir-les a terceres persones.
La protecció de la contrasenya és responsabilitat de l'usuari. Si sospites que algú poguera conèixer-la canvia-la al més promptepossible. Web: Entorn d’usuari
+Els meus comptes
Resum
Comentari
Abril, 2016 14
![Page 15: Reglamento de seguridad de la información de la ... · El reglament (capítol II) defineix un conjunt de 39 normes sobre 8 aspectes diferents. • Les normes pretenen establir unes](https://reader036.fdocuments.ec/reader036/viewer/2022062604/5fb6c0b5d926e44ac36015f1/html5/thumbnails/15.jpg)
Les contrasenyes personals s'emmagatzemen encriptades en els sistemes informàtics de la UV.
Ningú en la Universitat coneix la nostracontrasenya.
Cap tècnic de la Universitat ens demanaràmai que li proporcionem la nostracontrasenya personal.
15Abril, 2016
Sabies què?
Confiança
Seguretat
![Page 16: Reglamento de seguridad de la información de la ... · El reglament (capítol II) defineix un conjunt de 39 normes sobre 8 aspectes diferents. • Les normes pretenen establir unes](https://reader036.fdocuments.ec/reader036/viewer/2022062604/5fb6c0b5d926e44ac36015f1/html5/thumbnails/16.jpg)
Si reps algun tipus de missatge (correuelectrònic) demanant la teua contrasenya o que accedisques a una pàgina web externa per a introduir-la, pots estar segur que es tracta d'un engany.
No respongues mai a aquests avisos i informa al Servei d’Informàtica.
16Abril, 2016
Precaució
Phising
Comprovar url de la pàgina web,si té la forma:
https://... .uv.es/…
La web és de la Universitat i és segura
![Page 17: Reglamento de seguridad de la información de la ... · El reglament (capítol II) defineix un conjunt de 39 normes sobre 8 aspectes diferents. • Les normes pretenen establir unes](https://reader036.fdocuments.ec/reader036/viewer/2022062604/5fb6c0b5d926e44ac36015f1/html5/thumbnails/17.jpg)
• Els accessos a les aplicacions des d'ordinadors externs a la UV s'han de fer mitjançant mecanismes segurs: De la seguretat en la comunicació s'encarrega el SIUV,
habilitant mecanismes de connexió que assegurenl'encriptació en la transmissió de les dades (VPN, https).
Article 4. Norma 13
Si emmagatzemem informació de la Universitat en ordinadors externs a la UV, per exemple, d’altresinstitucions, hem d'assegurar-nos que aquests ordinadorscomplisquen també les mesures de seguretat establides en el reglament de seguretat.
Resum
Comentari
Abril, 2016 17
![Page 18: Reglamento de seguridad de la información de la ... · El reglament (capítol II) defineix un conjunt de 39 normes sobre 8 aspectes diferents. • Les normes pretenen establir unes](https://reader036.fdocuments.ec/reader036/viewer/2022062604/5fb6c0b5d926e44ac36015f1/html5/thumbnails/18.jpg)
Article 5. Ús, manteniment i destrucció de dispositius o suports amb informació
Abril, 2016 18
![Page 19: Reglamento de seguridad de la información de la ... · El reglament (capítol II) defineix un conjunt de 39 normes sobre 8 aspectes diferents. • Les normes pretenen establir unes](https://reader036.fdocuments.ec/reader036/viewer/2022062604/5fb6c0b5d926e44ac36015f1/html5/thumbnails/19.jpg)
• S'ha d‘evitar que l'emmagatzematge de documents en paper amb dades protegidesen permeta el seu coneixement per persones alienes a la UV.
Article 5. Normes 1-4
És important destruir els documents impresos una vegada que han deixat de ser útils.
La reutilització de paper és una bona pràctica, peròpodem evitar-la si imprimim a doble cara.
Si cal emmagatzemar documents impresos cal fer-ho en un lloc no accessible per tercers.
Resum
Comentari
Abril, 2016 19
![Page 20: Reglamento de seguridad de la información de la ... · El reglament (capítol II) defineix un conjunt de 39 normes sobre 8 aspectes diferents. • Les normes pretenen establir unes](https://reader036.fdocuments.ec/reader036/viewer/2022062604/5fb6c0b5d926e44ac36015f1/html5/thumbnails/20.jpg)
• Mesures que s'han de prendre per a la destrucció d'informació generada en el nostre treball diari que no estiga en paper.
Article 5. Normes 5-7
La informació o documents deixats a les sales de reunionscompartides poden contenir dades personals. Per això, s'han d'esborrar o retirar en acabar la reunió.
Els suports informàtics (DVD, memòria USB, etc.) han de ser esborrats o destruïts adequadament.
Resum
Comentari
Abril, 2016 20
![Page 21: Reglamento de seguridad de la información de la ... · El reglament (capítol II) defineix un conjunt de 39 normes sobre 8 aspectes diferents. • Les normes pretenen establir unes](https://reader036.fdocuments.ec/reader036/viewer/2022062604/5fb6c0b5d926e44ac36015f1/html5/thumbnails/21.jpg)
• Mesures que s'han de prendre per a evitar l'emmagatzematge d'informació en mitjans no segurs.
Article 5. Normes 8-10
Afegir components d'emmagatzematge o de comunicacióen els ordinadors del lloc de treball introdueix inseguretatsobre l'accés a les dades emmagatzemades o transmesos a través d'ells (veure Art. 4, normes 1-3).
Els serveis d'emmagatzematge en el núvol externs a la UV són còmodes però insegurs, ja que en general elsproveïdors tenen lliure accés a la informació que contenen.
La UV disposa de serveis d'emmagatzematge similars que permeten l'emmagatzematge segur de la informació.
disco.uv.es
Resum
Comentari
Abril, 2016 21
![Page 22: Reglamento de seguridad de la información de la ... · El reglament (capítol II) defineix un conjunt de 39 normes sobre 8 aspectes diferents. • Les normes pretenen establir unes](https://reader036.fdocuments.ec/reader036/viewer/2022062604/5fb6c0b5d926e44ac36015f1/html5/thumbnails/22.jpg)
Article 6. Eixides i entrades de dades
Abril, 2016 22
![Page 23: Reglamento de seguridad de la información de la ... · El reglament (capítol II) defineix un conjunt de 39 normes sobre 8 aspectes diferents. • Les normes pretenen establir unes](https://reader036.fdocuments.ec/reader036/viewer/2022062604/5fb6c0b5d926e44ac36015f1/html5/thumbnails/23.jpg)
• Es requereix autorització per a l'entrada i eixida d'informació de la qual és dipositàriala UV.
Article 6. Normes 1-2
Els dispositius d'emmagatzematge portàtils (memòries o discos USB, DVD) són insegurs perquè:
Es poden extraviar.
Es poden carregar fàcilment en ells programari maliciósen connectar-los a altres ordinadors.
Per a la portabilitat d'información, el mitjà més segur és sempreel sistema d'emmagatzematge virtual de la UV, que manté la informació en servidors de la UV.
disco.uv.es
Resum
Comentari
Abril, 2016 23
![Page 24: Reglamento de seguridad de la información de la ... · El reglament (capítol II) defineix un conjunt de 39 normes sobre 8 aspectes diferents. • Les normes pretenen establir unes](https://reader036.fdocuments.ec/reader036/viewer/2022062604/5fb6c0b5d926e44ac36015f1/html5/thumbnails/24.jpg)
Article 7. Correu electrònic i xarxacorporativa
Abril, 2016 24
![Page 25: Reglamento de seguridad de la información de la ... · El reglament (capítol II) defineix un conjunt de 39 normes sobre 8 aspectes diferents. • Les normes pretenen establir unes](https://reader036.fdocuments.ec/reader036/viewer/2022062604/5fb6c0b5d926e44ac36015f1/html5/thumbnails/25.jpg)
• Les comunicacions efectuades per usuaris de la UV amb motiu del seu treball s'han de fer mitjançant els comptes de correu oficials i la xarxa de comunicacions de la UV.
Article 7. Normes 1-2
Els serveis de correu electrònic o de xarxa oferts per empreses privades només han de ser utilitzats a títol privat (vegeu art. 5, normes 8-10).
Correu UV = Confiança per al ciutadà i protecció de la informació.
Resum
Comentari
Abril, 2016 25
![Page 26: Reglamento de seguridad de la información de la ... · El reglament (capítol II) defineix un conjunt de 39 normes sobre 8 aspectes diferents. • Les normes pretenen establir unes](https://reader036.fdocuments.ec/reader036/viewer/2022062604/5fb6c0b5d926e44ac36015f1/html5/thumbnails/26.jpg)
• Es requereix autorització per a l'enviament per mitjans telemàtics a terceres persones d'informació de la qual és dipositària la UV.
Article 7. Norma 3
És una altra forma de traure informació de la UV (vegeuarticle 6), i si aquesta informació es remetrà fora de la Universitat, ha de tenir l'autorització del responsable del servei (centre o unitat).
Resum
Comentari
Abril, 2016 26
![Page 27: Reglamento de seguridad de la información de la ... · El reglament (capítol II) defineix un conjunt de 39 normes sobre 8 aspectes diferents. • Les normes pretenen establir unes](https://reader036.fdocuments.ec/reader036/viewer/2022062604/5fb6c0b5d926e44ac36015f1/html5/thumbnails/27.jpg)
• Evitar comportaments en l'ús del correuelectrònic i d‘Internet que poguerencomprometre la seguretat de la informació.
Article 7. Normes 4-6
Determinats correus electrònics o pàgines web poden descarregar programari maliciós en els nostres ordinadors i generar:
Descàrregues d'informació,
Mal funcionament del nostre sistema,
Atacs a altres ordinadors des del nostre, etc.
Resum
Comentari
Abril, 2016 27
![Page 28: Reglamento de seguridad de la información de la ... · El reglament (capítol II) defineix un conjunt de 39 normes sobre 8 aspectes diferents. • Les normes pretenen establir unes](https://reader036.fdocuments.ec/reader036/viewer/2022062604/5fb6c0b5d926e44ac36015f1/html5/thumbnails/28.jpg)
Article 8. Recursos informàtics
Abril, 2016 28
![Page 29: Reglamento de seguridad de la información de la ... · El reglament (capítol II) defineix un conjunt de 39 normes sobre 8 aspectes diferents. • Les normes pretenen establir unes](https://reader036.fdocuments.ec/reader036/viewer/2022062604/5fb6c0b5d926e44ac36015f1/html5/thumbnails/29.jpg)
• Assegurar la confiança en l'ordinador del llocde treball amb què es processa la informacióde la Universitat.
Article 8. Normes 1-2
És convenient fer ús del Centre d'Atenció a l'Usuari del Servei d’Informàtica per a asegurar-se que el nostreordinador disposa d'un programari convenientmentactualitzat, segur i correctament llicenciat.
Resum
Comentari
Abril, 2016 29
Informació CAU:http://links.uv.es/Vqit568
![Page 30: Reglamento de seguridad de la información de la ... · El reglament (capítol II) defineix un conjunt de 39 normes sobre 8 aspectes diferents. • Les normes pretenen establir unes](https://reader036.fdocuments.ec/reader036/viewer/2022062604/5fb6c0b5d926e44ac36015f1/html5/thumbnails/30.jpg)
Article 9. Incidències de seguretat
Abril, 2016 30
![Page 31: Reglamento de seguridad de la información de la ... · El reglament (capítol II) defineix un conjunt de 39 normes sobre 8 aspectes diferents. • Les normes pretenen establir unes](https://reader036.fdocuments.ec/reader036/viewer/2022062604/5fb6c0b5d926e44ac36015f1/html5/thumbnails/31.jpg)
• Notificar al Servei d’Informàtica qualsevolpossible incidència sobre la seguretat de la informació de la qual es poguera tenirconeixement.
Article 9. Norma 1
La informació permetrà resoldre el problema i controlar elsriscos.
Resum
Comentari
Abril, 2016 31
![Page 32: Reglamento de seguridad de la información de la ... · El reglament (capítol II) defineix un conjunt de 39 normes sobre 8 aspectes diferents. • Les normes pretenen establir unes](https://reader036.fdocuments.ec/reader036/viewer/2022062604/5fb6c0b5d926e44ac36015f1/html5/thumbnails/32.jpg)
Article 10. Informació institucional i dades personals
Abril, 2016 32
![Page 33: Reglamento de seguridad de la información de la ... · El reglament (capítol II) defineix un conjunt de 39 normes sobre 8 aspectes diferents. • Les normes pretenen establir unes](https://reader036.fdocuments.ec/reader036/viewer/2022062604/5fb6c0b5d926e44ac36015f1/html5/thumbnails/33.jpg)
• La Universitat de València és responsable de la informació dipositada pels ciutadans i tota persona que tinga accés a aquesta en virtut del seu treball té el deure de guardar-neconfidencialitat.
Article 10. Normes 1-2
Els funcionaris tenim obligació de secret, però també elsproveïdors externs que tinguen accés a informació o a documents han de signar el pertinent contracte de confidencialitat.
Resum
Comentari
Abril, 2016 33
![Page 34: Reglamento de seguridad de la información de la ... · El reglament (capítol II) defineix un conjunt de 39 normes sobre 8 aspectes diferents. • Les normes pretenen establir unes](https://reader036.fdocuments.ec/reader036/viewer/2022062604/5fb6c0b5d926e44ac36015f1/html5/thumbnails/34.jpg)
Article 11. Publicació en web
Abril, 2016 34
www
![Page 35: Reglamento de seguridad de la información de la ... · El reglament (capítol II) defineix un conjunt de 39 normes sobre 8 aspectes diferents. • Les normes pretenen establir unes](https://reader036.fdocuments.ec/reader036/viewer/2022062604/5fb6c0b5d926e44ac36015f1/html5/thumbnails/35.jpg)
• En les pàgines web de la UV solament s'ha de publicar informació que siga: “No classificada”, és a dir, de caràcter públic, Autèntica, Vigent.
Article 11. Normes 1-3
Cal tenir especial precaució amb les dades personals que es publiquen en les pàgina web.
No s'ha d'induir a confusió al ciutadà i cal cuidar la fiabilitati la vigència de la informació publicada. És molt importantretirar la informació quan haja perdut vigència, especialment quan incloga dades personals (dret a l'oblit).
Dubtes:
Resum
Comentari
Abril, 2016 35
![Page 36: Reglamento de seguridad de la información de la ... · El reglament (capítol II) defineix un conjunt de 39 normes sobre 8 aspectes diferents. • Les normes pretenen establir unes](https://reader036.fdocuments.ec/reader036/viewer/2022062604/5fb6c0b5d926e44ac36015f1/html5/thumbnails/36.jpg)
Servei d’Informàtica (Universitat de València)
Si tens algun dubte concret sobre la seguretat o el tractament de les dades, envia un correu electrònic a: