Orden PRE/48/2016, de 22 de julio, por la que se regulan las normas de seguridad sobre utilización de los recursos y sistemas tecnológicos y de información en la Administración de la Comunidad Autónoma de Cantabria.

• Sección: 7 - Otros Anuncios
• Emisor: Consejería de Presidencia y Justicia
• Rango de Ley: Orden

Los recursos y sistemas tecnológicos y de información son elementos esenciales para eldesarrollo de las misiones encomendadas a la Administración de la Comunidad Autónoma deCantabria. Su correcta utilización permite trabajar de manera eficaz, eficiente y con un usoracional del dinero público, características que facilitan la prestación de unos servicios de calidad a la ciudadanía, entre los que cabe destacar los recogidos en la Ley 11/2007, de 22 dejunio, de acceso electrónico de los ciudadanos a los Servicios Públicos, cuyo contenido ha sidorecientemente derogado, al ser actualizado e incluido en la Ley 39/2015, de 1 de octubre, delProcedimiento Administrativo Común de las Administraciones Públicas.

Por su parte, el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, tiene como finalidad la creaciónde las condiciones necesarias de confianza en el uso de los medios electrónicos que permita alos ciudadanos y a las Administraciones Públicas el ejercicio de derechos y el cumplimiento dedeberes a través de ellos.

Entre las medidas de seguridad obligatorias que establece este Real Decreto, está la creación de una normativa de seguridad que contemple entre otros aspectos, y de forma destacada, el uso correcto de los equipos y servicios, así como lo que se considera uso indebido ylas responsabilidades respecto al cumplimiento o violación de las normas de seguridad.

En su artículo 5 señala que "la seguridad se entenderá como un proceso integral constituido por todos los elementos técnicos, humanos, materiales y organizativos relacionados conel sistema", lo que incluye tanto al personal especialista en tecnología, a los usuarios de losrecursos y sistemas tecnológicos y de información, así como a los responsables con capacidadde decisión sobre su utilización y el acceso a la información que contienen. En ese mismo artículo se fija que "Se prestará la máxima atención a la concienciación de las personas y a susresponsables jerárquicos".

Su artículo 14 trata de forma específica la gestión del personal, señalando que "todo elpersonal relacionado con la información y los sistemas deberá ser formado e informado de susdeberes y obligaciones en materia de seguridad".

Así, la presente orden establece las reglas sobre los usos aceptables de recursos y sistemastecnológicos y de información, así como de la información en ellos contenida, con el objetivode preservar en todo momento las dimensiones de la seguridad que fija el Esquema Nacionalde Seguridad: disponibilidad, integridad, confidencialidad, autenticidad y trazabilidad.

El conjunto de normas de seguridad recogidas en la presente orden se han elaborandocon el máximo respeto a los derechos constitucionales a la intimidad y la inviolabilidad de lascomunicaciones, y sirve para desarrollar la Política de Seguridad de la Información de la Administración de la Comunidad Autónoma de Cantabria.

CVE-2016-6831

DISPONGO

Artículo 1 Objeto.

El objeto de la presente orden es establecer las normas de seguridad sobre utilización delos recursos y sistemas tecnológicos y de información de la Administración de la ComunidadAutónoma de Cantabria, así como de la información que contienen, fijando los usos legítimos,los indebidos y las responsabilidades relativas al cumplimiento o violación de estas normas deseguridad.

Artículo 2 Ámbito de aplicación.

1. Sus previsiones serán de aplicación:

   1. A la Administración de la Comunidad Autónoma de Cantabria, comprendiendo ésta, aestos efectos, a la Administración General y los organismos públicos y entidades de derechopúblico vinculadas o dependientes de la misma, cuando ejerzan funciones administrativasy/o utilicen sistemas tecnológicos o de información gestionados por el órgano directivo concompetencias en materia informática. Quedan excluidos del ámbito de aplicación del presentedecreto el Servicio Cántabro de Salud y el sector público empresarial y fundacional, salvocuando utilicen sistemas tecnológicos o de información gestionados por el órgano directivo concompetencia en materia informática.

   2. A las personas físicas, jurídicas y entes sin personalidad jurídica en sus relaciones conlas entidades anteriores cuándo procedan al uso de sistemas tecnológicos o de informacióngestionados por el órgano directivo con competencias en materia informática.

2. Quedan excluidos de la presente orden los ciudadanos que ejerzan sus derechos o cumplan sus deberes mediante los servicios de Administración Electrónica, sin perjuicio de lasnormas de seguridad o condiciones que pudieran establecerse específicamente para ese caso.

Artículo 3 Uso de recursos y sistemas tecnológicos y de información.

1. La Administración de la Comunidad Autónoma de Cantabria facilitará a los empleadospúblicos que así lo precisen los equipos informáticos y dispositivos de comunicaciones, tantofijos como móviles, necesarios para el desempeño de sus funciones.

2. Así mismo, se podrá poner a disposición del personal ajeno a la Administración Generalde la Comunidad Autónoma de Cantabria y los organismos públicos y entidades de derechopúblico vinculadas, los medios técnicos que sean necesarios para permitir el acceso a susrecursos y sistemas tecnológicos o de información, siempre en condiciones de seguridad, yexclusivamente destinados al desarrollo del acuerdo o contrato en que se encuadra su vínculocon la Administración de la Comunidad Autónoma de Cantabria.

3. En todos los casos, los datos, dispositivos, programas y servicios tecnológicos que la Administración de la Comunidad Autónoma de Cantabria pone a disposición de los usuarios debenutilizarse para fines profesionales y dentro del desarrollo de las funciones encomendadas.

Artículo 4 Asignación de credenciales de acceso.

1. Todos los usuarios deberán autenticarse mediante los mecanismos de control de accesosprovistos en cada sistema.

2. Cada usuario de esos sistemas debe disponer de un identificador único y personalizado,que estará vinculado a las credenciales de acceso que se le entreguen.

3. El uso de un mismo identificador por varios usuarios estará prohibido, salvo en aquelloscasos excepcionales en el que esté justificado y autorizado expresamente por el responsablede la información o responsable del servicio afectado. Será preceptivo un informe elaboradopor el Responsable de Seguridad de la Información sobre la situación, riesgos y posibles consecuencias y además se aplicarán las medidas de seguridad adicionales que sean necesarias paragarantizar la seguridad de los recursos, los sistemas y la información que contienen.

Artículo 5 Uso de las credenciales de acceso.

1. Cada usuario será responsable de las actividades realizadas con las credenciales de acceso que reciba para acceder a los sistemas y/o recursos.

2. Queda prohibido comunicar o ceder de cualquier modo las credenciales de acceso a lossistemas tecnológicos o de información de la Administración de la Comunidad Autónoma deCantabria.

3. El usuario deberá adoptar las debidas precauciones en la custodia de las credenciales deacceso asignadas para evitar que terceras personas pueden tener acceso a las mismas.

4. Si un usuario sospecha que sus credenciales son conocidas o están siendo usadas porotra persona o entidad deberá comunicar un incidente de seguridad, poniendo el hecho enconocimiento del órgano directivo competente en materia de informática.

Artículo 6 Usos aceptables de los equipos tecnológicos.

1. Los equipos tecnológicos se usarán para fines profesionales y...