Resum normatiu en matèria de seguretat dels sistemes d’informació

Última modificació: 21/06/2017 | Font: SCP
  1. Introducció
  2. Normes d’ús dels mitjans informàtics de la Universitat Jaume I de Castelló
  3. Normativa del portal de la Universitat i dels espais web
  4. Obligació de notificar els incidents de seguretat
  5. Relació amb el sistema de gestió de la seguretat de la informació 

 

1. Introducció

Aquest resum normatiu recull el que s’establia en les “Normes d’ús de la xarxa informàtica de l’UJI” i les “Normes d’ús dels mitjans informàtics de la Universitat Jaume I” així com el que es disposava en els “Criteris de cessió dels espais WWW a l’UJI”. Se completa a més amb algunes qüestions derivades de la implantació del sistema de gestió de la seguretat de la informació de la UJI i incorpora els trets més significatius de les normes que formen part d'aquell.

 

2. Normes d’ús dels mitjans informàtics de la Universitat Jaume I de Castelló.

En favor de les llibertats públiques

Les normes de funcionament dels mitjans informàtics pretenen fer possible la utilització i optimització d'aquest mitjà amb el respecte dels drets i llibertats que recull la Constitució.

Els principis rectors de l'UJI

Tal com estableix el títol preliminar dels Estatuts de la Universitat Jaume I de Castelló, la comunitat de la Universitat Jaume I es basa en els principis rectors de llibertat, democràcia, justícia, independència, pluralitat, pau i solidaritat. A més, la Universitat ha de procurar la formació integral dels seus membres per a la participació en el progrés de la societat contribuint a assolir una convivència pacífica, justa, solidària, no discriminatòria i amb respecte al medi ambient

Els mitjans informàtics de la Universitat no podran ser emprats per a emetre missatges o imatges contraris als principis recollits als Estatuts d'aquesta.

Seguint les finalitats de la Universitat Jaume I, s'afavorirà l'ús de la llengua pròpia, amb l'objectiu de facilitar la consolidació i la plena normalització d'aquesta.

Finalitats de la xarxa de la Universitat

Els recursos informàtics i la informació que contenen han de ser utilitzats únicament per a activitats científiques, educatives, de comunicació i de gestió, relacionades amb aquesta Universitat.

La Universitat no pot utilitzar ni permetre a altres l'ús dels seus mitjans per a activitats comercials, publicitàries, ni qualssevol altres amb ànim de lucre.

Titularitat dels equips

Tot l'equipament tècnic a disposició dels membres de la comunitat universitària per al desenvolupament de les seues activitats acadèmiques o laborals és titularitat de l'UJI. De la mateixa forma, totes les utilitats instal·lades en aquest equipament es posen a disposició dels usuaris amb la finalitat que aquests puguen portar a terme correctament i eficientment les seues activitats acadèmiques, investigadores o de gestió.

Ús d’Internet

Els recursos de l’UJI, no han de connectar-se a cap servei en línia via "connexió telefònica a xarxes" o qualsevol altra utilitat sense autorització prèvia i expressa de l'UJI. La connexió a pàgines denominades de “navegació anònima” solament podrà realitzar-se en el marc d'activitats investigadores, acadèmiques o de desenvolupament.

Els recursos de la xarxa tenen una capacitat finita i unes limitacions, per tant aquests mitjans hauran de ser utilitzats de manera que no interferisquen l'activitat dels altres membres de la Universitat per a poder desenvolupar el seu treball i estudi.

L'ús de l’accés remot a les aplicacions de gestió compromet els usuaris autoritzats a notificar la pèrdua, compromís, accés indegut, alteració o qualsevol altra incidència relacionada amb la seguretat de les credencials d’accés o de la informació a la qual té accés, a través del procediment SPI “Notificació d’incidències de seguretat”.

Confidencialitat de les dades i intimitat

En relació amb les dades, els administradors del sistema de la Universitat Jaume I poden determinar categories de les dades que han de ser tractades com a confidencials o d'ús exclusiu dels administradors. Els usuaris hauran de respectar el que es disposa en la normativa vigent en matèria de protecció de dades de caràcter personal, així com la intimitat dels altres usuaris. Mai obtindran intencionadament informació sobre arxius, o obtindran còpies d'arxius, o els modificaran sense comptar amb els permisos adequats per a fer-ho.

No utilitzaran mai la contrasenya d'altres usuaris o suplantaran la seua identitat. Només en casos molt concrets i amb l'autorització expressa del titular aquest comportament pot ser tolerable.

Obtenció de fons i publicitat

Serà preceptiva l'autorització del Consell Editorial per a qualsevol constància de patrocinis en la xarxa de la Universitat.

Aquesta autorització només es concedirà en el marc d’acords de patrocini, beques o ajudes a la docència i la investigació que signe la Universitat.

Cessió de serveis de xarxa

Tret del que preveu aquesta mateixa normativa en matèria d’espais cedits, la cessió de serveis de xarxa de la Universitat a individus o organitzacions externes només es farà de manera excepcional, justificada i en cap cas amb ànim de lucre.

Ús del nom de la Universitat

El nom de la Universitat no es pot fer servir sense autorització de manera que suggerisca o done a entendre que aquesta dóna suport a altres organitzacions, als seus productes, serveis, etc.

Qualsevol utilització general o específica de la imatge o nom de la Universitat Jaume I, en els seus diversos aspectes, que tinga com a finalitat la difusió general de la institució o d'algun estudi, centre, servei, activitat o altres, fora de la Universitat, ha de ser aprovada i gestionada pel Servei de Comunicació i Publicacions, o d'acord amb aquest, independentment que siga gratuïta o no i de la presentació i del suport utilitzats.

Propietat intel·lectual

S'ha d'assumir que la major part dels materials publicats a la xarxa tenen drets d'autor si no es declara explícitament el contrari. Es poden utilitzar citacions breus si s'identifica l'autor i l'obra d'on s'han pres.

No es poden publicar a la xarxa materials que siguen propietat d'altres, és a dir, obres protegides pels drets d'autor, sense l'autorització explícita del seu titular.

Materials llicenciats

Els materials llicenciats a la Universitat pels seus titulars (articles de premsa,entrades d'enciclopèdies, etc.) està restringit a l’àmbit de la Universitat. Ningú té dret a incloure'ls en documents per a publicar-los a la xarxa i/o redistribuir-los.

Dret a la intimitat i a la pròpia imatge

No es pot publicar a la xarxa informació, imatges o vídeos sense l'autorització de les persones que hi apareixen. Tothom té dret a restringir l'ús de la seua pròpia imatge.

Protecció dels drets i llibertats

Les situacions conflictives que es puguen produir respecte a la vulneració dels drets seran remeses al Síndic de Greuges i a la Comissió Deontològica, respectivament.

Cap membre de la comunitat universitària pot llogar a tercers els mitjans programari, maquinari o d’accés a Internet que obté en la seua condició de membre de l'UJI.

La Universitat Jaume I es reserva el dret de sancionar amb mesures acadèmiques i administratives aquells membres de la comunitat que, fent un ús inadequat dels mitjans informàtics, contravinguen les normes d'ús abans esmentades.

La Universitat Jaume I, quan algun dels seus membres, fent servir els mitjans informàtics que la mateixa Universitat posa al seu abast, ocasione perjudicis greus a aquesta mateixa institució o a terceres persones o entitats, es reserva el dret d'acudir als tribunals de justícia.

Condicions d'ús de les aplicacions d'intercanvi entre iguals (P2P)

Les aplicacions d'intercanvi d'informació entre iguals només podran utilitzar-se en la Universitat Jaume I per a la transmissió o recepció de material relacionat amb l activitat de la Universitat i amb respecte a la legislació vigent.

El Servei d'Informàtica adoptarà mesures tècniques que, per defecte, tallaran el tràfic amb l'exterior que es genere mitjançant la utilització d'aplicacions d'intercanvi d'informació entre iguals.

No obstant això, qualsevol usuari que necessite fer un ús d'aquestes aplicacions d'acord amb el que es disposa en el primer paràgraf, podrà demanar que se li habilite la seua utilització mitjançant el SPI Sol·licitud d'ús de la xarxa P2P. Aquesta sol·licitud ha d'incloure la identificació de l'equip des del qual es farà ús del servei, el nom de l'aplicació que s'utilitzarà i la finalitat per a la qual es necessita, i ha d'anar adreçada al Servei d'Informàtica i comptar, si escau, amb l'autorització del cap d'unitat de la persona sol·licitant.

Serà responsabilitat de l'usuari habilitat establir mesures de protecció del seu equip per a evitar usos inadequats d'aquestes aplicacions.

El Servei d’Informàtica vetlarà pel bon ús d’aquestes eines i suspendrà cautelarment l’habilitació d’aquells equips sobre els quals es detecten activitats què puguen resultar il·lícites, en el moment en què es reba la corresponent denúncia.

Requeriments i procediments per a la connexió d'equips a la xarxa UJInet.

La connexió d'equips a les rosetes existents en zones d'ús compartit (marcades com a FREEnet) i l'accés via Wi-Fi, requereix l'autenticació de l'usuari mitjançant un programari de connexió.

Els dispositius que es connecten a rosetes ubicades en despatxos, laboratoris i la resta d'ubicacions d'ús no compartit, hauran de tindre l'adreça IP, el nom i adreça Ethernet, registrades a la base de dades corporativa de la Universitat. El Servei d'Informàtica (SI) manté una relació de rosetes, equips i adreces físiques dels equips connectats a la xarxa. La sol·licitud d'alta es gestiona mitjançant un comunicat d'intervenció al SI (http://cau.uji.es).

Com a excepció, en laboratoris, es poden fer xarxes privades connectades a la UJInet a través d'un encaminador que faça NAT (traducció d'adreces IP). En aquestos casos el suport del Servei d'Informàtica acabarà en la interfície pública d'aquest encaminador.

El personal del SI (Àrees d'Operació, Comunicacions i Sistemes), davant d'un problema de seguretat o pèrdua de servei que afecte altres equips de la xarxa procedirà a la desconnexió de l'equip o equips causants, fins que el problema estiga solucionat. Abans de procedir a la desconnexió, intentarà posar-se en contacte amb l'administrador de la màquina via correu electrònic i/o telèfon. Si l'impacte es considera greu i l'administrador no està localitzable procedirà igualment a la desconnexió. A l'administrador se l'informarà sobre les mesures preses i els motius que les van provocar.

Gestió de les polítiques de seguritat en els accessos als ordinadors connectats a la xarxa

Els administradors de la xarxa UJInet del Servei d'Informàtica gestionen la relació de polítiques d'accés als distints ordinadors connectats Aquestes polítiques són més o menys restrictives en funció de del grau de privacitat de les dades que es gestionen o el nivell de disponibilitat requerit en els diferents dispositius.

Els administradors de les màquines, mitjançant les polítiques del tallafocs local, poden restringir més els accessos a les maquines que administren; però no alterar les regles definides d'àmbit general.

Si, per a l'exercici de la labor docent o administrativa, es necessiten alterar les polítiques definides pels administradors de la xarxa, aquesta modificació s'haurà de sol·licitar al Servei d'Informàtica mitjançant el procediment SPI Sol·licitud d'alta, baixa o modificació d'un servidor en la xarxa. Els tècnics d'aquest servei avaluaran si aquest fet suposa o no una amenaça per a la seguretat i actuarà en conseqüència, incloent-hi l'accés demanat o bé, oferint alternatives que donen la mateixa funcionalitat. Les màquines per a les quals s'ha concedit la modificació en els accessos es registrarán a la base de dades amb informació del seu administrador i el tipus d'accés.

Normativa sobre instal·lació de xarxes de transmissió de dades sense fils en el campus

Les instal·lacions d'equipament d'emissió radioelèctrica a realitzar s'han d'executar seguint las directrius marcades per l'Oficina Tècnica d'Obres i Projectes i han de complir el Reglament electrotècnic de baixa tensió així com les instruccions tècniques complementaries.

L'energia d'eixida emesa per qualsevol dispositiu ha d'estar per sota dels nivells de referència per a emissions radioelèctriques.

Es podran instal·lar xarxes sense fils privades en laboratoris d'investigació i locals d'associacions o entitats externes. En aquest últim cas s'aplicaran les mateixes normes a les quals es fa referència en l'apartat Requeriments i procediments per a la connexió d'equips a la xarxa UJInet i s’observarà el següent:

  • El SSID de la xarxa no podrà ser uji/UJI ni eduroam/EDUROAM.
  • Els punts d'accés hauran de disposar de mecanismes de control d'accés i seguretat tipus WEP, WPA, filtrat per MAC, 802.11. o qualsevol altre adient a l’ús que se li done a la xarxa d’accés.

En qualsevol cas, la petició d'instal·lació d'infraestructura sense fils s'ha de notificar al SI, que mantindrà un registre d'aquestes.

Permisos d’administració d’equips microinformàtics

El personal de l'UJI, en casos excepcionals o justificats pel seu vincle amb la Universitat, podrà demanar, a través del formulari SPI Alta de permisos d'administració de l'equip microinformàtic, que se li habiliten permisos d’administració sobre l’equip del qual és usuari.

L’usuari administrador només ha d'instal·lar programari no estàndard quan siga absolutament necessari per a les seues tasques professionals i sempre que dispose de la corresponent llicència.

Tampoc podrà desactivar els mecanismes preventius d'actualització automàtica del sistema operatiu i de la protecció antivirus, i si utilitza algun mitjà de protecció antivirus diferent a l’institucional es compromet a mantenir-lo actualitzat. En cap cas cedirà a tercers el permís d'administració.

El SI donarà manteniment i suport limitat a les màquines de les quals l’usuari és administrador, fent-se aquest

responsable del manteniment i suport de la màquina i de la gestió de les llicències.

Programari maliciós

El Servei d'Informàtica de l'UJI pren les màximes precaucions per a evitar qualsevol contagi implantant mesures tècniques que eviten l'entrada a la xarxa corporativa de virus. No obstant això, davant qualsevol sospita d'una entrada d'un virus informàtic, l'usuari haurà de seguir el següent protocol:

  • Comunicar immediatament al CAU qualsevol sospita d'atac per virus informàtics, pesca (phishing) o suplantació de llocs web amb la finalitat d'obtenir credencials d'accés dels usuaris, programari maliciós, etc.
  • No executar mai un programa adjunt a un correu electrònic i en el cas d'adjunts no executables, assegurar-se primer que no contenen cap codi maliciós mitjançant l'ús d'el programari adequat.

Correu electrònic

Per motius de seguretat, el correu electrònic no podrà ser utilitzat per a enviar ni per a contestar missatges o cadenes de missatges susceptibles de provocar congestions en els sistemes de l'UJI o que puguen introduir virus o implicar qualssevol riscos o problemes en els sistemes i eines informàtiques i tecnològiques de la Universitat.

Els continguts dels correus electrònics són conservats durant un període màxim de set dies, que és el període màxim en el qual l'aplicació lliura un esdeveniment “error d'enviament” i elimina el correu de la seua cua.

Els continguts dels missatges de correu no s'emmagatzemen en el servidor. Es troben en aquest, de manera transitòria i per motius tècnics, durant un període màxim d'una setmana. Incidentalment, per tant, alguns missatges de correu electrònic poden ser objecte d'una còpia de seguretat diària o setmanal, en el cas que no puguen ser lliurats immediatament. L’usuari ha de ser coneixedor d’aquesta circumstància, que accepta en fer ús del sistema corporatiu de missatgeria de la Universitat.

Control de incidències en la xarxa

La navegació per Internet i l'ús del correu electrònic per part dels membres de la comunitat no són objecte de revisió sistemàtica per l'UJI per a respectar la llibertat en l'exercici de les funcions de cada treballador, el seu dret a la intimitat i el secret de les comunicacions. No obstant això, es realitzarà un mínim control que tindrà per finalitat la detecció de possibles conductes abusives, la prevenció de conductes delictives, seguretat, protecció de béns i persones, detecció de virus i atacs de seguretat.

Ús de sistemes de xifrat

S'utilitzaran, d'acord amb la llei, sistemes de xifrat per a la transmissió de dades de caràcter personal relatius a la salut, origen racial, afiliació sindical, sexe, religió, ideologia i creences.

Firma electrònica i identificació

L'UJI podrà establir la necessitat d'accedir a determinada informació continguda en els seus sistemes d'informació mitjançant l'ús de certificats digitals per a autenticar cadascun dels usuaris.

L'UJI publicarà en la seu electrònica la relació de certificats de signatura electrònica avançada admesos i els prestadors que els expedeixen.

La Universitat ha de garantir que l'accés als seus serveis de tramitació electrònica pot fer-se únicament amb plenes garanties de la identitat de l'usuari, ja siga intern o extern. Amb aquesta finalitat establirà els corresponents mecanismes d'autenticació basats en mitjans d'accés com nom d'usuari/contrasenya, certificat per a signatura electrònica o qualssevol altres que acrediten suficientment la identitat.

En el cas d'accés mitjançant nom d'usuari/contrasenya aquesta haurà de ser comunicada, per mitjans segurs, exclusivament al titular del compte i ha de forçar-se la modificació d'aquesta per ul'suari en el primer inici de sessió. Les contrasenyes han de renovar-se periòdicament.

Normativa d’ús dels equips portàtils

Els equips portàtils de l’UJI són utilitzats pel personal de la Universitat a fi de facilitar el correcte compliment de les seues tasques.

No es permet la manipulació de components o de programari instal·lat en els equips portàtils administrats pel SI.

És responsabilitat de l'usuari realitzar còpies de seguretat sobre les dades gestionades en un equip portàtil al seu càrrec així com mantindre l'equip en bones condicions.

Davant una connexió no fiable, en la mesura que siga possible, l'usuari haurà d'associar-se a la VPN de l'UJI per establir un canal xifrat.

Els portàtils oferts per la biblioteca en règim de préstec posseeixen una normativa específica disponible en http://ujiapps.uji.es/serveis/cd/bib/serveis/prestecs/altres/.

Normativa del programari

L’UJI fomentarà l'ús de formats informàtics oberts en la comunicació interna i externa, promourà el desenvolupament i l'ús de programari lliure i afavorirà la lliure difusió del coneixement creat per la comunitat universitària, no obstant això, podran utilitzar-se productes desenvolupats per tercers proveïdors que llicencien el producte a l’UJI, mitjançant el corresponent contracte de llicència d'ús i sempre dins dels termes d'aquella.

Es mantindrà un inventari o registre permanent i actualitzat del programari utilitzat a l’UJI mitjançant les aplicacions:

  • e-ujier@CPA, que mantindrà les aplicacions desenvolupades per l’UJI, com per exemple l'e-ujier.
  • e-ujier@GEI, que mantindrà l'inventari de les adquisicions de programari realitzades a tercers.

Es realitzaran comprovacions periòdiques sobre les llicències i ús del programari. Qualsevol producte programari que no complisca els requisits de legalitat i autorització establerts en les presents polítiques i que contravinga la normativa vigent en matèria de propietat intel·lectual haurà de ser eliminat dels sistemes de l'UJI.

Normativa d’ús de telèfons

Els telèfons seran posats a disposició del personal de l’UJI com una eina per a l'acompliment de les seues funcions.

Els usuaris de telèfons mòbils es comprometen a la seua custòdia de forma segura així com a comunicar immediatament a la Universitat, a través del SPI Notificació d’incidències de seguretat la pèrdua i/o robatori del terminal així com un detall de les circumstàncies d'aquests esdeveniments, perquè es porten a terme les accions oportunes.

L'ús de telèfon mòbil és personal i intransferible per part de l'usuari al qual se li ha concedit.

 

3. Normativa del portal de la Universitat i dels espais web.

Portal www.uji.es

Només a la informació que aparega en les pàgines de la seu electrònica de la Universitat se li reconeixerà validesa administrativa.

La Universitat, a través dels seus òrgans i serveis, també pot oferir noticies i informació institucional oficial en el seu domini que no tinga efectes administratius. En aquest cas, les pàgines en les quals aparega no s’identificaran com a integrants de la seu electrònica L’ús del portal UJI www.uji.es es regeix per la normativa publicada en el portal titulada com “Normes d’ús del portal”.

La informació oferida pel personal docent i investigador, en l’exercici de les seues funcions i a l’empara de la llibertat de càtedra, és responsabilitat exclusiva d'aquestes persones i en cap cas se’ls pot atorgar la consideració d’informació oficial de la Universitat.

Per resolució del rector es podrà interrompre la publicació o retirar les dades de les pàgines web del domini “uji.es” que puguen ser constitutives de delicte o que atempten contra els principis recollits en l’article 8 de la Llei 34/2002, d'11 de juliol, de serveis i societat de la informació i de comerç electrònic.

Normativa relativa a la tenda UJI

Dins del portal corporatiu hi ha una zona denominada tenda.uji.es la finalitat de la qual és la distribució comercial de publicacions i materials de l’UJI. Aquesta zona desenvoluparà la seua comesa de conformitat amb la Llei 34/2002, d'11 de juliol, de serveis de la societat de la informació i de comerç electrònic.

Espais web cedits

Les unitats administratives o acadèmiques de la Universitat, les organitzacions estudiantils autoritzades pel Consell d'Estudiantat amb la seua inscripció en el registre d'associacions, i les organitzacions sindicals de la Universitat, així com entitats culturals universitàries i altres amb conveni amb la Universitat Jaume I, podran sol·licitar, a la direcció del Servei de Comunicació i Publicacions, espai cedit web en els servidors de l'UJI administrats pel Servei d'Informàtica. L'espai es concedirà quan els sol·licitants acrediten el compliment dels requisits establerts en els apartats següents i es comprometen a respectar les normes d'ús dels mitjans informàtics de la Universitat.

En el cas que se cedisquen espais dins d’aquest domini a terceres persones, entitats o institucions alienes, la Universitat no serà titular d’aquests i la seua resposablilitat es llimitarà al que la Llei 34/2002, d’11 de juliol, de serveis de la societat de la informació i de comerç electrònic atribueix als prestadors de serveis de societat de la informació. Els titulars d’espais cedits de l’UJI estan obligats a incloure un apartat d’informació legal, en la pàgina principal, en el qual aparega el nom del responsable i la indicació que la informació que hi apareix és proporcionada per aquest i no guarda cap relació amb la Universitat Jaume I.

El tractament, l'elaboració i la inserció dels continguts informatius, és responsabilitat exclusiva dels cessionaris d'aquests espais.

Cada secció cedida ha de tenir una persona de contacte responsable del seu manteniment, la qual es fa quotidianament responsable de mantenir les dades actualitzades al dia.

El contingut de l'espai serà el propi de l'organització que el demana.

No es pot demanar un espai web per a una assignatura en concret.

El nom de l'espai web no pot tindre punts.

Si es violen aquestes normes, o les d'ús dels mitjans informàtics de l'UJI podrà anul·lar-se l'autorització per a utilitzar l'espai cedit, sense menyscapte de les eventuals responsabilitats penals o civils que se'n puguen derivar.

 

4. Obligació de notificar els incidents de seguretat

L'ús dels mitjans informàtics de la Universitat compromet els usuaris autoritzats a notificar la pèrdua, compromís, accés indegut, alteració o qualsevol altra incidència de la qual en tinguen coneixement i que estiga relacionada amb la seguretat de les credencials d’accés, dels sistemes físics o de les dades, a través del procediment SPI Notificació d’incidències de seguretat.

 

5. Relació amb el sistema de gestió de la seguretat de la Informació

La present normativa és un resum de les normes completes que regulen l'ús dels recursos informàtics de l’UJI. La normativa completa pot consultar-se en:

 

 

Universitat Jaume I CIF: Q-6250003-H Av. de Vicent Sos Baynat, s/n 12071 Castelló de la Plana, Espanya
Tel.: +34 964 72 80 00 Fax: +34 964 72 90 16