1. Inici
  2. Estandards
  3. Per la connexió d’equips de tercers

    Per la connexió d’equips de tercers

Classificació de l'estàndard XARXES  (35.110)
Codi de l'estàndard 35.110.01
Versió 1.0
Data última actualització 20/04/2017
Responsable Per determinar
Llicència

Part 1: Abast

La connexió a xarxa corporativa de la Generalitat de Catalunya (nus corporatiu), en endavant xarxa corporativa, d’equips de personal tercer, com a conseqüència de la contractació de serveis per part de la Generalitat de Catalunya, així com d’equips de propietat dels treballadors interns de la Generalitat, fa necessària l’emissió d’un conjunt de requisits i recomanacions a complir quan aquests equips es connectin a la xarxa corporativa.

Part 2: Referències

  • Llei 151999, de 13 de desembre, de Protecció de Dades de Caràcter Personal i el Reial Decret 17202007, de 21 de desembre, pel qual s’aprova el Reglament de desplegament de la Llei orgànica 151999, de 13 de desembre, de protecció de dades de caràcter personal.

  • INSTRUCCIÓ 12012, de 15 de juny, sobre l’ús de les tecnologies de la informació i la comunicació a l’Administració de la Generalitat de Catalunya.

  • ISO/IEC 27002:2005:

    • 6.2.1 Identificació dels riscos relacionats amb terceres parts
    • 6.2.3 Requeriments de seguretat en els acords amb les terceres parts
    • 10.4.1 Controls contra codi maliciós
    • 11.1.1 Política de control d’accés
    • 11.2.1 Registre d’usuaris
    • 11.3.2 Equips d’usuari desatesos
    • 11.5.2 Identificació i autenticació d’usuaris
    • 11.6.1 Restricció d’accés a la informació
    • 12.5.4 Fuga d’informació
    • 13.1.1 Notificar dels esdeveniments de seguretat

Part 3: Termes i definicions

Pel propòsit d’aquest document, s’apliquen els següents termes i definicions:

Xarxa corporativa

Xarxa corporativa de la Generalitat de Catalunya (nus corporatiu).

Part 4: Protecció de la informació

  1. Qualsevol sol·licitud d’alta, baixa o manteniment de l’accés d’equips tercers a la xarxa corporativa ha de ser cursada utilitzant els mecanismes de petició i autorització establerts.

    En el cas de personal tercer, les sol·licituds han de ser cursades a través del responsable de l’execució del contracte dins l’organització, o la persona per aquest designada.

    Aquesta petició pot ser denegada en el decurs de la seva tramitació, quan no es compleixin els requeriments mínims a nivell tècnic, funcional i de seguretat determinats.

  2. L’accés d’equips tercers a la xarxa corporativa ha de seguir els procediments de gestió d’identitats vigents.

  3. En arrencar l’equip tercer, la xarxa corporativa ha de sol·licitar l’autenticació de la persona que es connecta, mitjançant identificador d’usuari i contrasenya, o procediments alternatius d’autenticació segura. És responsabilitat de l’usuari complir la Guia de contrasenyes, especialment en els aspectes de confidencialitat i seguretat de la paraula de pas. Quan l’autenticació es faci mitjançant procediments alternatius d’autenticació segura (certificats, tokens,…), l’usuari és responsable de fer un ús segur d’aquests mitjans d’autenticació.

  4. La primera connexió a la xarxa corporativa comportarà la visualització de la política d’ús TIC, la seva acceptació i l’acceptació del monitoratge de l’equip tercer.

  5. S’ha d’evitar, sempre que sigui possible, emmagatzemar informació al disc local i en suports externs d’un equip tercer, per tal d’evitar accessos indeguts i duplicitats d’informació, facilitar la compartició de la informació i garantir la continuïtat de la informació,

  6. En cas que sigui indispensable emmagatzemar informació en el disc local o suports externs d’un equip tercer, s’ha de demanar autorització, i prendre les mesures adequades per protegir la informació segons el nivell de confidencialitat o criticitat d’aquesta, protegint-la sempre d’accessos il·legítims. En aquest cas és responsabilitat de l’usuari garantir la continuïtat d’aquesta informació. Qualsevol informació confidencial o afectada per la llei de protecció de dades personals ha de ser encriptada abans de ser emmagatzemada en local o en suports externs. En el cas de dades de caràcter personal, el responsable del fitxer ha d’autoritzar prèviament l’emmagatzemament en local o en suport extern.

  7. Quan s’emmagatzema informació en disc local o suports externs d’un equip tercer, aquesta s’ha d’emmagatzemar també als espais de xarxa habilitats a tal efecte.

  8. Els suports d’emmagatzematge d’informació, a reutilitzar o a donar de baixa, han de ser tractats prèviament per eliminar permanentment la informació que puguin contenir, de manera que sigui impossible la seva recuperació, seguint els procediments estipulats en la Guia de d’eliminació segura d’informació en la reutilització o destrucció de suports i sistemes.

  9. Quan l’equip tercer estigui connectat a la xarxa corporativa, l’accés al correu electrònic de la companyia externa o a comptes de correu personal només s’ha de realitzar a través de webmail. No està permesa la configuració d’un compte d’accés a correu extern en el programari de correu instal·lat a l’equip de treball.

  10. Els equips de tercers s’han de connectar a la xarxa wifi corporativa seguint els mecanismes de petició i autorització establerts.

  11. L’equip tercer no ha de quedar mai desatès, especialment si s’ha superat el procés d’identificació i autenticació per accedir a sistemes i/o aplicacions. Quan la persona connectada hagi d’abandonar l’ordinador temporalment, s’ha de bloquejar-la de forma manual. (Control + Alt + Suprimir, opció “Bloca l’ordinador”).

  12. S’ha de desconnectar l’equip tercer en finalitzar la jornada laboral.

  13. Quan s’utilitzi un equip tercer portàtil en llocs públics, sales de reunions, o altres àrees fora del lloc de treball habitual, cal prendre les mesures adients per evitar que persones alienes puguin visualitzar o accedir a la informació de l’equip tercer, sense autorització.

  14. Es recomana, sempre que sigui possible, connectar l’equip tercer a elements fixes a través de cablejat. En absències perllongades (vacances, permisos, …) del personal, durant les quals l’ordinador no hagi de ser utilitzat per altres persones, l’equip tercer hauria de quedar guardat de forma segura.

Part 5: Configuració dels equips

  1. Tot el programari que ho requereixi ha d’estar instal·lat sota llicència vàlida de la empresa tercera o del treballador intern.

  2. L’equip tercer ha d’estar configurat perquè els monitors s’apaguin automàticament després d’un temps d’inactivitat, fixat a la Guia d’us de l’estació de treball, i s’aturin temporalment transcorregut un cert temps addicional, sent necessari tornar a introduir les credencials d’accés per reprendre l’activitat.

  3. L’equip tercer haurà de tenir instal·lat un tallafocs, programari antivirus, eines de neteja de malware / spyware i política activa de pegats. Les actualitzacions d’antivirus es realitzaran periòdicament i com a mínim setmanalment. L’antivirus s’haurà d’executar automàticament en el moment de l’arrancada de l’equip, quan s’accedeix en mode lectura a dispositius de memòria externs (disquets, CDs, DVDs, memòries USB, …), o quan s’intenti obrir qualsevol fitxer. El serveis TIC de la Generalitat de Catalunya podran verificar la instal·lació amb l’objectiu de validar i determinar la seva idoneïtat, així com determinar el nivell d’actualització de l’equip de treball. El no compliment pot ser motiu de denegació de la tramitació o desconnexió de l’equip, si no es compleixen els requeriment tècnics i funcionals mínims determinats.

  4. S’ha de tenir una autorització prèvia i per escrit del responsable del contracte i realitzar la petició utilitzant els canals establerts i/o el procediment vigent, en els següents casos:

    • Tenir configurada l’estació de treball per realitzar funcions de servidor (web o web segur, de correu electrònic, proxy, FTP, DNS, DHCP, de notícies, NTP, NFS o compartició de disc per netBios, de base de dades, telnet, SSH o terminal server i/o qualsevol altre que pugi afectar la seguretat dels sistemes).
    • Tenir instal·lats els següents tipus d’aplicacions / equips: programari de reenviament anònim, sniffers, eines per descobrir contrasenyes, escaneig de xarxa, programari peer to peer – p2p - eines per fer atacs que comprometin la seguretat dels sistemes, programari per xat, IRC, ICQ o missatgeria instantània.
    • Tenir configurada l’estació de treball com a màquina virtual o tenir instal·lats dispositius de xarxa amb capacitat per escoltar tot el tràfic de xarxa.
    • Establir comunicació via mòdem o dispositius sense fil no corporatiu.

Part 6: Pèrdua de vinculació amb l’administració de la Generalitat

  1. Quan un usuari tercer perdi la seva vinculació contractual amb l’administració de la Generalitat, s’ha de donar de baixa l’accés de l’equip tercers a la xarxa corporativa, en el cas que aquest hagi estat habilitat. La sol·licitud de baixa de l’accés a la xarxa corporativa ha de ser cursada a través del responsable de l’execució del contracte dins l’organització, o la persona per aquest designada.

  2. Quan un usuari intern de la Generalitat perdi la seva vinculació amb l’administració de la Generalitat, com a conseqüencia de la seva jubilació o qualsevol altra forma d’extinció, temporal de llarga durada o definitiva, de la relació laboral, s’ha de donar de baixa l’accés dels equips personals a la xarxa corporativa, en el cas que aquests hagin estat habilitats. La sol·licitud de baixa de l’accés a la xarxa corporativa ha de ser cursada a través del responsable de recursos humans dins l’organització, o la persona per aquest designada.

  3. Quan es perd la vinculació amb l’administració de la Generalitat, els equips tercers i suports d’emmagatzematge d’informació, d’usuaris interns i tercers, han de ser tractats per eliminar permanentment la informació de la Generalitat de Catalunya que puguin contenir, seguint els procediments estipulats en la Guia d’eliminació segura d’informació en la reutilització o destrucció de suports i sistemes.

Part 7: Tractament d’incidències

  1. Qualsevol mal funcionament d’un equip tercer haurà de ser corregit per un servei tècnic extern a la Generalitat de Catalunya.
  2. Qualsevol mal funcionament de l’equip tercer en l’accés a la xarxa corporativa ha de ser comunicat al Servei d’Atenció a l’Usuari (SAU) utilitzant els canals establerts i/o el procediment vigent.