100 DIARIO OFICIAL DE GALICIA N 203 Luns, 20 de outubro de 2008
I. DISPOSICINS XERAIS CONSELLERA DE PRESIDENCIA, ADMINISTRACINS PBLICAS E XUSTIZA Decreto 230/2008, do 18 de setembro, polo que se establecen as normas de boas prcticas na utilizacin dos sistemas de informacin da Administracin da Comu- nidade Autnoma de Galicia. A utilizacin dos sistemas informticos e de comu- nicacins actualmente un elemento imprescindi- ble de calquera organizacin. Ir incorporando os avances que se estean a producir na materia debe ser o horizonte das administracins pblicas moder- nas; neste sentido, a Administracin da Comunida- de Autnoma de Galicia vn, nos ltimos anos, estendendo a rede informtica propia facndoa che- gar a todas as sas dependencias administrativas. As mesmo proporciona medios e recursos electrni- cos, informticos, telemticos e de telefona fixa e mbil como instrumentos de traballo para o desem- peo da sa actividade laboral, co fin de garantir a dilixencia e eficiencia no seu desempeo s persoas que lle prestan servizo. O avanzado estado e crecente uso destes recursos, a posibilidade da sa integracin e interaccin e os riscos que estes avances implican para a seguridade dos sistemas e da informacin, especialmente no referente proteccin de datos de carcter persoal e intimidade das persoas, fai necesario definir unha poltica de uso e utilizacin destes recursos. Neste escenario, cmpre desenvolver unha cultura de seguridade corporativa que promova o uso mis eficiente e seguro dos sistemas, redes de comunica- cins e equipamento responsabilidade da Adminis- tracin da Comunidade Autnoma de Galicia. Todo iso dentro das facultades de autoorganizacin que lle corresponden para a ordenacin dos seus recur- sos humanos e materiais co fin de acadar unha maior eficiencia e eficacia na prestacin dos servizos pblicos. A utilizacin das tecnoloxas da informacin e as comunicacins ter as limitacins establecidas pola Constitucin e o resto do ordenamento xurdico, res- pectando o pleno exercicio dos dereitos recoecidos, e especialmente o dereito fundamental proteccin de datos de carcter persoal nos termos establecidos pola Lei orgnica 15/1999, de proteccin de datos de carcter persoal, e polas demais leis especficas que regulan o tratamento da informacin e nas sas normas de desenvolvemento. Na sa virtude, en uso das facultades atribudas pola Lei 1/1983, do 22 de febreiro, reguladora da Xunta e da sa Presidencia, por proposta do conse- lleiro de Presidencia, Administracins Pblicas e Xustiza, e logo de deliberacin do Consello da Xun- ta de Galicia na sa reunin do da dezaoito de setembro de dous mil oito, DISPOO: Artigo 1.-Obxecto e finalidade. 1. Este decreto ten por obxecto regular as normas de utilizacin dos sistemas de informacin e de comunicacins, fixos e mbiles, de que dispn a Administracin da Comunidade Autnoma de Gali- cia, e establecer os dereitos e as obrigas das persoas usuarias destes sistemas no relativo sa segurida- de e bo uso. 2. A finalidade desta norma conseguir o mellor aproveitamento das tecnoloxas da informacin e as comunicacins na actividade administrativa, as como garantir a proteccin da informacin das per- soas e das empresas, nas sas relacins coa Admi- nistracin da Comunidade Autnoma de Galicia. Artigo 2.-Definicins. Para os efectos desta norma, a definicin dos con- ceptos que aparecen nela a seguinte: Sistemas de informacin: conxunto de compoen- tes que forman un todo destinado a obter, procesar, rexistrar ou distribur informacin, independente- mente do soporte en que estea almacenada. Redes de comunicacins: infraestruturas de tele- comunicacins destinadas ao transporte da informa- cin entre sistemas. Rede corporativa da Xunta de Galicia: rede de comunicacins coordinada polo Centro de Xestin de Rede da Direccin Xeral de Calidade e Avalia- cin das Polticas Pblicas. Recursos informticos: calquera parte compoente dun sistema de informacin ou rede de comunicacins. Aplicacin informtica: programa ou conxunto de programas informticos que teen por obxecto o tra- tamento electrnico da informacin. Cdigo malicioso: instrucins de programacin que actan nun sistema de informacin sen consen- timento do persoal de soporte tcnico. Soporte: calquera medio fsico (papel, CD-ROM, fitas magnticas, etc.) utilizado para almacenar informacin. Monitorizacin: observacin e rexistro automtico dos accesos informacin ou dos parmetros das comunicacins con fins estatsticos ou de seguridade. Persoa usuaria: toda persoa fsica autorizada para a utilizacin dos sistemas de informacin, redes e dispositivos de comunicacin da Administracin da Comunidade Autnoma de Galicia, sexan ou non empregados pblicos, e con independencia da natu- reza da sa relacin xurdica con ela. Persoal de soporte tcnico: persoal das unidades informticas dos distintos departamentos da Xunta de Galicia que desempean funcins de asesora N 203 Luns, 20 de outubro de 2008 19.101 DIARIO OFICIAL DE GALICIA tcnica, execucin, proposta, coordinacin e super- visin dos plans de informatizacin. Poltica de seguridade corporativa: conxunto de normas e procedementos que establecen o compromi- so da Administracin da Comunidade Autnoma de Galicia para a xestin da seguridade da informacin. Centro de seguridade informtica: grupo de traba- llo dentro da Direccin Xeral de Calidade e Avalia- cin das Polticas Pblicas encargado da xestin e coordinacin da seguridade corporativa dos sistemas de informacin da Administracin da Comunidade Autnoma de Galicia. Artigo 3.-mbito de aplicacin. 1. Esta norma ser de aplicacin a todas as per- soas que presten servizos para a Administracin da Comunidade Autnoma de Galicia e utilicen para o desempeo das sas funcins os sistemas de infor- macin ou as redes de comunicacins propiedade da Administracin autonmica. 2. O contido deste decreto ser de aplicacin na utilizacin do equipamento informtico e de comu- nicacins, fixo e mbil, inclundo calquera disposi- tivo posto disposicin das persoas que prestan ser- vizos para a Administracin autonmica. Artigo 4.-rganos responsables. 1. As secretaras xerais designarn, dentro de cada departamento da Xunta de Galicia, o rgano que ser responsable dos sistemas da sa propiedade e de establecer os medios tecnolxicos que precisan as persoas ao seu servizo, as como de velar polo correcto funcionamento das infraestruturas e do equipamento informtico e de comunicacins de que dispoan. Naqueles casos en que as ditas atribu- cins xa estean asignadas regulamentariamente a un rgano, non ser preciso esta designacin. 2. Estes rganos, co apoio do persoal de soporte tcnico, son os competentes para velar polo cumpri- mento das normas contidas neste decreto. Corres- ponderalle a eles asegurarse de que os equipamen- tos se utilizan axeitadamente e atendendo finalida- de a que estn destinados. Para o mellor cumprimento destas atribucins sobre os sistemas, cada departamento da Xunta de Galicia deber designar unha persoa como responsa- ble de seguridade. As persoas designadas debern comunicar, dentro do seu mbito, as normas, proce- dementos e polticas de seguridade para o seu coe- cemento polo persoal, as como impulsar a sa implantacin. 3. Conforme o Decreto 21/1999, do 5 de febreiro, polo que se regula a utilizacin da rede internet pola Administracin da Comunidade Autnoma de Gali- cia, correspndelle Consellera da Presidencia, Administracins Pblicas e Xustiza a planificacin e xestin da rede corporativa da Xunta de Galicia. Artigo 5.-rganos de coordinacin. Son rganos de coordinacin: a) A Comisin de Informtica da Xunta de Galicia, regulada polo Decreto 290/1992, do 8 de outubro. b) A Direccin Xeral de Calidade e Avaliacin das Polticas Pblicas da Consellera de Presidencia, Administracins Pblicas e Xustiza. c) O Comit de Seguridade dos Sistemas de Infor- macin da Xunta de Galicia. un rgano colexiado, adscrito Consellera de Presidencia, Administra- cins Pblicas e Xustiza, formado polas persoas res- ponsables de seguridade dos distintos departamen- tos da Xunta de Galicia, que ten como obxectivo definir a poltica de seguridade corporativa. Este comit estar coordinado e asesorado pola direccin xeral competente a travs do Centro de Seguridade Informtica. O seu rxime bsico de funcionamento regularase por orde da Consellera de Presidencia, Administracins Pblicas e Xustiza. Artigo 6.-Utilizacin do equipamento informtico e de comunicacins. 1. A Administracin da Comunidade Autnoma de Galicia por disposicin dos empregados pblicos os equipamentos informticos e dispositivos de comunicacins, tanto fixos como mbiles, necesarios para o desenvolvemento da sas funcins. A Administracin da Comunidade Autnoma de Galicia por disposicin das persoas xurdicas ou fsicas que, sen ter a condicin de empregados pblicos, lle presten servizos, os equipamentos informticos e dispositivos de comunicacins, tanto fixos como mbiles, necesarios para o desenvolve- mento das sas funcins, nos termos establecidos nos contratos e convenios en que se formalice a rela- cin xurdica entre estas e aquela. 2. As persoas usuarias debern empregar o equi- pamento exclusivamente para o exercicio das sas funcins. Queda prohibido alterar, sen a debida autorizacin, calquera dos compoentes dos equipos e dispositivos de comunicacin. 3. Salvo autorizacin expresa do rgano competen- te, as persoas usuarias s podern usar os equipos aprobados pola Administracin da Comunidade Autnoma de Galicia e non podern conectar aos equipos outros perifricos ou agregar compoentes distintos dos que tean instalados. Estas operacins s as poder realizarse o persoal de soporte tcnico. 4. As persoas usuarias en ningn caso podern acceder fisicamente ao interior dos seus equipos e debern facilitarlle ao persoal de soporte tcnico o acceso a estes equipos para labores de reparacin, instalacin ou mantemento. Este acceso limitarase unicamente s accins necesarias para resolver os problemas que este poida encontrar no uso dos recursos informticos e de comunicacins e finaliza- r unha vez resoltos estes. Se o persoal de soporte tcnico detectase calquera anomala que indicase a 19.102 DIARIO OFICIAL DE GALICIA N 203 Luns, 20 de outubro de 2008 realizacin de usos ilcitos dos recursos, poerao en coecemento do rgano responsable. 5. Cando os medios informticos ou de comunica- cins proporcionados pola Administracin da Comu- nidade Autnoma de Galicia estean asociados ao desempeo dun determinado posto ou funcins, a persoa que os tea asignados ter que devolvelos inmediatamente ao rgano responsable cando finali- ce a sa vinculacin co dito posto ou funcins. Artigo 7.-Instalacin dos sistemas de informacin e as aplicacins informticas. 1. Unicamente o persoal de soporte tcnico, auto- rizado polo rgano responsable, poder instalar as aplicacins necesarias nos equipos informticos ou nos terminais de comunicacins e realizar a configu- racin necesaria nos sistemas operativos. 2. Os equipos debern cumprir as medidas de seguridade aprobadas pola Administracin da Comu- nidade Autnoma de Galicia e definidas por medio da poltica de seguridade corporativa dos sistemas de informacin. En ningn caso se desactivar o soft- ware antivirus, as sas actualizacins, ou calquera outro mecanismo de seguridade instalado neles. 3. Est prohibida a execucin ou instalacin de calquera tipo de software que puidese prexudicar o correcto funcionamento dos sistemas ou equipos da Administracin da Comunidade Autnoma de Gali- cia, que poida outorgar, eliminar ou modificar derei- tos de acceso informacin ou aos sistemas ou que poida considerarse ofensivo ou atentatorio contra os dereitos constitucionais. 4. Prohbese a reproducin, modificacin, transfor- macin, cesin, comunicacin ou uso fra do mbito da Administracin da Comunidade Autnoma de Galicia dos programas e aplicacins informticas instaladas nos equipos que pertencen Administra- cin autonmica, sen a sa debida autorizacin. 5. Non se poder instalar ou utilizar software que non dispoa da licenza correspondente ou que a sa utilizacin non se adecue lexislacin vixente. 6. En ningn caso se podern borrar ou desinsta- lar as aplicacins informticas da Administracin da Comunidade Autnoma de Galicia e s se utilizarn aquelas para as que se tea autorizacin. Artigo 8.-Utilizacin da informacin xestionada polos sistemas. 1. Toda a informacin contida nos sistemas de almacenamento da Administracin da Comunidade Autnoma de Galicia ou que circule polas sas redes de comunicacins, debe ser utilizada cunha finalida- de estritamente profesional, para o desenvolvemento das funcins que cada persoa ten encomendadas. 2. Calquera tratamento da informacin almacena- da nos sistemas da Administracin da Comunidade Autnoma de Galicia deber cumprir a normativa vixente, con especial cautela no que respecta pro- piedade intelectual, o control fronte a virus e demais cdigos maliciosos e a proteccin de datos de carc- ter persoal. 3. No caso da informacin de carcter persoal, debe terse en conta o sinalado na normativa vixente en materia de proteccin de datos de carcter per- soal, debendo extremarse as precaucins no uso da dita informacin e empregando as medidas tcnicas e organizativas reguladas na normativa asociada. 4. O persoal ten deber de sixilo e confidencialidade respecto da informacin a que tea acceso por razn das sas funcins, e limitarase a empregala para o estrito cumprimento das tarefas encomendadas. Artigo 9.-Acceso informacin. 1. As persoas usuarias tern autorizado o acceso unicamente a aquela informacin e recursos que precisen para o desenvolvemento das sas funcins. O acceso informacin contida nos sistemas da Administracin da Comunidade Autnoma de Gali- cia estar restrinxido a aquelas persoas posuidoras da correspondente autorizacin, que ser persoal e intransferible, e composta polo menos dun identifi- cador e dun contrasinal. 2. Os rganos responsables dos sistemas estable- cern os mecanismos axeitados para evitar que as persoas poidan acceder ou modificar datos sen auto- rizacin. Exclusivamente o persoal de soporte tcni- co, conforme os criterios establecidos polo responsa- ble de cada un dos sistemas de informacin, poder conceder, alterar ou anular a autorizacin de acceso aos datos e recursos. 3. Non se podern obter dereitos de acceso infor- macin distintos aos autorizados, nin se utilizar o identificador doutra persoa, anda que se dispoa de permiso desta, salvo indicacin expresa e puntual do rgano responsable da dita informacin ou recurso. Con este fin, as unidades de persoal dos distintos departamentos da Xunta de Galicia comunicarn ao servizo de informtica todos os cambios que se pro- duzan nos postos de traballo. 4. As persoas ao servizo da Administracin da Comunidade Autnoma de Galicia debern velar pola seguridade dos datos a que tean acceso polas tarefas do seu posto de traballo, especialmente os confidenciais ou de carcter persoal. 5. Por motivos de seguridade, a Administracin da Comunidade Autnoma de Galicia poder monitori- zar os accesos informacin contida nos seus siste- mas, cumprindo os requisitos que para o efecto esta- bleza a normativa vixente. Artigo 10.-Acceso s redes de comunicacins. 1. A conexin rede corporativa da Xunta de Gali- cia ser facilitada pola Direccin Xeral de Calidade e Avaliacin das Polticas Pblicas no uso das com- petencias atribudas no decreto de estrutura orgni- ca da Consellera de Presidencia, Administracins Pblicas e Xustiza. N 203 Luns, 20 de outubro de 2008 19.103 DIARIO OFICIAL DE GALICIA 2. Non se poder conectar a esta rede de comuni- cacins ningn dispositivo por medios distintos aos definidos e autorizados polo Centro de Xestin de Rede da dita direccin xeral. 3. No caso daquelas redes de comunicacins da Administracin da Comunidade Autnoma de Gali- cia xa xestionadas por outras conselleras, a cone- xin a eles ser facilitada polo rgano responsable de cada unha delas. Artigo 11.-Acceso a internet. 1. A Administracin da Comunidade Autnoma de Galicia prover de conexin a internet as persoas ao seu servizo cunha finalidade exclusivamente profe- sional. 2. O equipo que tea acceso a internet, a travs das redes de comunicacin xestionadas pola Admi- nistracin da Comunidade Autnoma de Galicia, deber dispoer de software de proteccin fronte a virus e demais cdigos maliciosos. 3. Os datos de conexin e trfico sern monitoriza- dos e gardarase un rexistro durante o tempo que establece a normativa vixente en cada suposto. En ningn caso esta retencin de datos afectar o segre- do das comunicacins. 4. As conexins a sitios web que contean material ofensivo ou software malicioso sern bloqueadas, salvo excepcins debidamente autorizadas. Artigo 12.-O servizo de mensaxara corporativo. 1. A Administracin da Comunidade Autnoma de Galicia prover de servizo de mensaxara as persoas ao seu servizo cunha finalidade exclusivamente pro- fesional. 2. Por razns de seguridade e rendemento, os rga- nos responsables do servizo podern monitorizar o servizo de mensaxara corporativa. Esta monitoriza- cin non ser nunca selectiva ou discriminatoria senn que ser realizada de forma sistemtica ou aleatoria e sen vulneracin da intimidade persoal nin do segredo das comunicacins. 3. Aquelas contas en que se detecte un uso inade- cuado, que se definir no documento de poltica de seguridade corporativa, podern ser bloqueadas ou suspendidas temporalmente. En ningn caso, se poder utilizar o servizo de mensaxara para: a) A difusin de mensaxes ofensivas ou discrimi- natorias. b) O uso da conta de correo corporativo para expresar opinins persoais en foros temticos fra do mbito das administracins. c) A difusin masiva non autorizada; subscricin indiscriminada a listas de correo ou calquera ataque co obxecto de impedir ou dificultar o servizo de correo. Artigo 13.-As incidencias de seguridade. 1. Cando unha persoa usuaria detecte calquera incidencia ou anomala de seguridade que poida comprometer o bo uso e funcionamento dos sistemas de informacin, deber informar a persoa responsa- ble de seguridade do seu departamento ou o Centro nico de Atencin a Usuarios dependente da direc- cin xeral competente. 2. Nos casos de incidencias ou avaras que se pro- duzan nos equipos conectados rede corporativa da Xunta de Galicia non resoltas satisfactoriamente, deber darse conta direccin xeral competente. Artigo 14.-Deberes das persoas usuarias. 1. As persoas que prestan servizos Administra- cin da Comunidade Autnoma de Galicia, ademais de cumprir coas medidas indicadas neste decreto relativas ao equipamento informtico e de comuni- cacins, s aplicacins informticas, informacin e ao uso dos servizos corporativos, son responsables do bo uso dos medios electrnicos, informticos, telemticos e de comunicacins, fixos e mbiles, postos sa disposicin para as actividades propias das funcins que desenvolven. 2. Non se poder acceder aos recursos informti- cos e telemticos para desenvolver actividades que persigan ou tean como consecuencia: a) A degradacin dos servizos. b) A destrucin ou modificacin non autorizada da informacin de xeito premeditado. c) A violacin da intimidade, do segredo das comunicacins e do dereito proteccin de datos persoais. d) A deterioracin intencionada do traballo dou- tras persoas. e) O uso dos sistemas de informacin para fins alleos aos da Administracin. f) Incorrer en actividades ilcitas de calquera tipo. g) Danar intencionadamente os recursos informti- cos da Administracin da Comunidade Autnoma de Galicia ou doutras institucins. h) Instalar ou utilizar software que non dispoa da licenza correspondente. 3. Para garantir uns mnimos de seguridade no equipamento asignado, deberase: a) Utilizar e gardar en segredo o contrasinal que protexe a conta de acceso, responsabilidade directa da persoa usuaria. Esta debe pechar a sa conta ao final de cada sesin ou cando deixa desatendido o equipo, co fin de que non poida ser usado por tercei- ras persoas. b) Revisar de forma peridica os seus ordenadores, eliminando calquera virus, programa ou ficheiro que poida causar danos a outro equipos da rede ou outras actuacins que contravean a lexislacin vixente. c) No caso de que o seu equipo contea informa- cin importante que non estea gardada nun servidor, realizar copias de seguridade peridicas para garan- tir a sa dispoibilidade. 19.104 DIARIO OFICIAL DE GALICIA N 203 Luns, 20 de outubro de 2008 4. As persoas usuarias, no exercicio das sas fun- cins, debern colaborar co rgano competente en materia de seguridade dos sistemas de informacin e seguir as sas recomendacins e, en particular, as do Centro de Seguridade Informtica, en aplicacin da poltica de seguridade corporativa definida polo Comit de Seguridade dos Sistemas de Informacin da Xunta de Galicia. 5. Tamn estarn obrigadas ao cumprimento daquel outras medidas adicionais que especifiquen os rganos responsables dos sistemas. Artigo 15.-Inspeccin. 1. A Administracin da Comunidade Autnoma de Galicia, mediante os medios tecnolxicos e persoais que estime oportuno, revisar peridica e puntual- mente, por razns de seguridade e de calidade do servizo, o estado dos equipos, dispositivos e redes de comunicacins da sa responsabilidade, as como a sa correcta utilizacin, co obxecto de verificar o seu correcto funcionamento, eficiencia e o cumpri- mento das medidas e protocolos de seguridade esta- blecidos na lexislacin vixente. 2. A direccin xeral competente en materia de seguridade corporativa velar polo cumprimento da presente normativa e informar o Comit de Seguri- dade dos Sistemas de Informacin da Xunta de Gali- cia sobre os incumprimentos ou deficiencias de seguridade observados, co obxecto de que tomen as medidas oportunas. 3. Os servizos para os que se detecte un uso inade- cuado ou que non cumpran os requisitos de segurida- de, que se definirn no documento de poltica de seguridade corporativa, podern ser bloqueados ou suspendidos temporalmente para aquelas contas en que se detecte un dano para os dos sistemas de infor- macin e de comunicacins. O servizo restablecera- se cando a causa da sa degradacin desapareza. Artigo 16.-Responsabilidade e rxime disciplinario das persoas usuarias que tean a condicin de empre- gados pblicos. 1. A Administracin da Comunidade Autnoma de Galicia exixir dos empregados pblicos a responsabi- lidade en que incorresen por dolo, culpa ou neglixen- cia graves de que deriven danos e perdas nos seus bens ou dereitos ou indemnizacins para particulares, logo da instrucin do procedemento correspondente nos termos previstos na normativa de aplicacin. 2. O incumprimento dos deberes e obrigas impos- tos por este decreto, que sexan constitutivos de infraccin disciplinaria, segundo a tipificacin efec- tuada na normativa aplicable, dar lugar incoacin do correspondente procedemento disciplinario que se tramitar conforme o establecido na normativa aplicable aos empregados pblicos en funcin da natureza xurdica do seu vnculo coa Administra- cin. Non obstante o anterior, a incoacin dos expe- dientes e a imposicin das sancins requirir infor- me previo da Direccin Xeral de Calidade e Avalia- cin das Polticas Pblicas. Artigo 17.-Responsabilidade das persoas usuarias que non tean a condicin de empregados pblicos. 1. As persoas xurdicas ou fsicas que, sen ser empregados pblicos, mantean unha relacin con- tractual coa Administracin autonmica sern as responsables dos incumprimentos realizados polo seu persoal no mbito deste decreto, cando non poi- da imputrselle directamente a este a responsabili- dade pola accin ou omisin cometida. 2. Nos pregos de clusulas administrativas dos contratos e nos convenios en que se formalicen as relacins xurdicas entre a Administracin da Comunidade Autnoma de Galicia e as persoas xur- dicas ou fsicas que, sen ser empregados pblicos, estean includas no mbito de aplicacin deste decreto, estableceranse penalizacins econmicas polo incumprimento do establecido nel, as como a sa posible resolucin. Disposicins derradeiras Primeira.-Autorzase a persoa titular da Conselle- ra de Presidencia, Administracins Pblicas e Xus- tiza para ditar as disposicins necesarias para o desenvolvemento deste decreto. Segunda.-A constitucin e posta en funcionamen- to do Comit de Seguridade dos Sistemas de Infor- macin da Xunta de Galicia non xerar aumento dos crditos orzamentarios asignados consellera a que est adscrito. Terceira.-Este decreto entrar en vigor aos vinte das da sa publicacin no Diario Oficial de Galicia. Santiago de Compostela, dezaoito de setembro de dous mil oito. Emilio Prez Tourio Presidente Jos Lus Mndez Romeu Conselleiro de Presidencia, Administracins Pblicas e Xustiza II. AUTORIDADES E PERSOAL b) NOMEAMENTOS CONSELLERA DE PRESIDENCIA, ADMINISTRACINS PBLICAS E XUSTIZA Orde do 8 de outubro de 2008 pola que se publica a substitucin de vogais suplentes do Consello Galego de Cooperacin para o Desenvolvemento en representacin das ONG. De acordo co establecido no artigo 11.5 do Decre- to 326/2004, do 29 de decembro, polo que se regu-