Professional Documents
Culture Documents
www.a d h ec. in fo
Plan de actuaciones
Metodologa 3
Proceso de adaptacin a la LOPD 5
Auditora de adaptacin a la LOPD 6
Auditora UNE-ISO/IEC 17799:2002 y certificacin LOPD 8
Servicios 9
Glosario 10
2 0 03 Ad h e c
Metodologa
Proceso metodolgico de certificacin de sistemas
La Ley Orgnica de Proteccin de Datos de Carcter Personal Los principios fundamentales se resumen en los siguientes
15/1999, de 13 de Diciembre desarrolla una serie de conceptos:
obligaciones aplicables a todas aquellas empresas que posean
ficheros con datos de carcter personal. Independencia, de criterios no condicionados por
valoraciones subjetivas
En el momento de poner en prctica los requerimiento exigidos
por la ley es cuando se plantea la necesidad de utilizar unos Finalidad, estableciendo unos procedimientos que
procedimientos y una metodologa que garanticen el garantizan el cumplimiento legal
cumplimiento de la normativa legal en vigor.
Asesoramiento o consejo, recomendando las actuaciones
Adhec es la metodologa que permite evaluar el estado de la ms adecuadas
seguridad de los sistemas de informacin de las organizaciones
segn los requisitos exigidos por la legislacin vigente. Justificacin, en base a un examen y anlisis
El desarrollo de se ha realizado siguiendo las pautas de Por lo tanto, garantiza de esta manera al auditado, a travs
evaluacin de sistemas de informacin reconocidas de una metodologa y una mtrica, el anlisis y la evaluacin
internacionalmente y adaptndolas a la realidad legislativa de sistemas de una forma objetiva. Todo ello fundamentado
espaola. en la mejores prcticas y conocimientos.
Magerit, Consejo Superior de Informtica del Ministerio de La organizacin decidir el proceso de adaptacin que mejor
las Administraciones Pblicas se adecue a su realidad empresarial, eligiendo entre dos
planteamientos perfectamente diferenciados. Cada uno de
Common Criteria, sistema internacional desarrollado ellos garantiza el correcto cumplimiento de la legislacin
conjuntamente por EE.UU, Canad, Francia, Reino Unido, vigente.
Alemania y Holanda
auditora de adaptacin a la LOPD
ISACA, Information Systems Audit and Control Association
auditora de adaptacin y certificacin a la LOPD
ISO 17799, ISO
Finalizado el proceso de Adaptacin los auditados pueden
Security Plans, National Institute of Standards and acceder a los servicios que Adhec les ofrece:
Technology (EE.UU)
Automatizacin de la gestin del documento de seguridad
La finalidad bsica del proceso metodolgico consiste en
llevar a cabo una labor de asesoramiento y consejo de cara Revisin y mantenimiento jurdico-tecnologco
a implantar las medidas necesarias para alcanzar los niveles
de proteccin de datos exigidos por la ley. Certificacin de ficheros
Defensa jurdica
2 0 03 Ad h e c 3
Metodologa
Diagrama de fases
El proceso de evaluacin est desarrollado de tal manera que tanto el auditor
como la organizacin participan de forma activa en la evaluacin del sistema.
Ni ve l d e ri es g o
Definicin de
requerimientos
Seleccin de
salvaguardas
Administrativas
Personal
Fsicas
Tcnicas
2 0 03 Ad h e c 4
Proceso de adaptacin a la LOPD
Alcance
El proceso a travs del cual se garantiza la correcta adaptacin Un punto fundamental para llevar a cabo esta adaptacin pasa
tanto a la Ley Orgnica de Proteccin de Datos de Carcter por la total implicacin de la organizacin auditada, durante
Personal (LO 15/99), como a las directivas de la Comunidad la ejecucin de todas las fases de desarrollo de la misma.
Europea, se estructura en una serie de fases que permiten
abarcar todos los requisitos legislativos.
2 0 03 Ad h e c 5
Auditora de adaptacin a la LOPD
Procesos de la auditora
El proceso de auditora de adaptacin esta formado por un A continuacin se detallan los procesos que se llevarn a cabo,
conjunto de procesos que garantizan una correcta adaptacin detallando en cada uno de ellos el mbito y alcance del mismo.
al cumplimiento exigido por la legislacin vigente, en materia de
proteccin de datos .
Preparacin Valoracin
Anlisis del flujo lgico de la informacin respecto de los Valoracin de riesgo en el sistema de informacin
principios de proteccin de datos
Finalizados los procesos anteriores, se emite un informe en el que se evala
Se analiza el flujo de los datos de carcter personal dentro de la organizacin, el nivel de riesgo asumido por la organizacin en el tratamiento de ficheros
desde su recogida hasta el posterior tratamiento. con datos de carcter personal.
Identificacin de los ficheros con datos de carcter personal Informe de recomendaciones para la adecuacin del sistema
existentes en la organizacin de informacin
Se identifican los datos de carcter personal tratados por la organizacin, En base a la informacin recogida en los procesos anteriores se recomiendan
y se analizan los ficheros en los que se almacenan y/o tratan estos datos. las mejores prcticas, que garantizan una correcta adaptacin a la legislacin
en mat eri a de prot ec ci n de dat os de c arc t er pers onal.
Recomendaciones y pautas para la optimizacin en la
declaracin de ficheros
Emisin de recomendaciones para la ptima declaracin y posterior tratamiento
de los ficheros. Se evala el impacto de la declaracin dentro de la
organizacin.
Anlisis
Evaluacin de ficheros
De acuerdo a la legislacin vigente, se lleva a cabo el anlisis de ficheros
evaluando los niveles de confidencialidad, integridad de los datos, control
de accesos, criptografa e incidencias
Evaluacin de activos
De acuerdo a la legislacin vigente, se lleva a cabo el anlisis de los activos
que almacenan los ficheros, evaluando las vulnerabilidades y amenazas de
los mismos.
Evaluacin de la seguridad
De acuerdo a la legislacin vigente, se lleva a cabo el anlisis de la gestin
de la seguridad sobre el sistema de informacin, evaluando las polticas
aplicadas en materia de proteccin, personal y mantenimiento.
2 0 03 Ad h e c 6
Auditora de adaptacin a la LOPD
Procesos de la auditora (continuacin)
Seleccin de las salvaguardas del informe preliminar Auditora del sistema de informacin
Como resultado de las salvaguardas emitidas en el informe preliminar se Finalizado el proceso, se auditar el sistema de informacin con el objeto
lleva a cabo una seleccin de aquellas que garanticen una correcta adopcin de garantizar los requerimientos legales exigidos por la legislacin vigente.
a la legislacin vigente.
Se suministraran las mejores prcticas para la redaccin de planes de Operadores de los ficheros
contingencia, de tal forma que garanticen la calidad de los datos en el caso
de que se produzca una contingencia.
2 0 03 Ad h e c 7
Auditora UNE-ISO/IEC 17799:2002 y certificacin LOPD
Procesos de la auditora y certificacin
El proceso de auditora y certificacin est diseado para aquellas Para conseguir este objetivo, se ampla el alcance del proceso
organizaciones que entienden la proteccin de datos de carcter de auditora a la norma UNE-ISO/IEC 17799:2002, con el objeto
personal como un indicador de excelencia para su organizacin. de presentar una diferenciacin de valor en el tratamiento de los
ficheros con datos de carcter personal.
2 0 03 Ad h e c 8
Servicios Adhec
Servicios de seguimiento Adhec
Conscientes de que la proteccin de los datos de carcter Estos servicios dan soporte a nivel tecnolgico, jurdico y
personal no debe ser una actuacin puntal, desde Adhec hemos documental. De esta manera se llevan a cabo actualizaciones
diseado unos procesos de seguimiento de la adaptacin. y adaptaciones a las posibles modificaciones en el campo de la
Durante los 2 aos siguientes a la finalizacin de la auditora, proteccin de datos.
se pueden contratar nuestros servicios de seguimiento.
Hcate GDocs
mbito Especificacin detallada de los recursos protegidos Seguridad Procedimiento para la realizacin de copias de respaldo
Identificacin del Responsable del Fichero Procedimiento para la recuperacin de los datos
Indicacin de la empresa, entidad u organizacin Periodicidad de las copias de respaldo o de seguridad
Controles peridicos de verificacin Procedimiento de contraseas
Nmero de reintentos de acceso no autorizado
Medidas y Medidas de seguridad existentes Control de acceso a los locales con ficheros
normas Relacin de los tipos de conexiones remotas Registro de Accesos
Sistemas de proteccin existentes Copia de respaldo
Relacin actualizada de los usuarios Procedimiento de recuperacin de datos
Personal Transmisin cifrada de datos
Relacin de personas o empresas ajenas a la organizacin
Relacin actualizada de administradores
Sistema de asignacin de contraseas Gestin de Etiquetado de los soportes
Responsable de Seguridad soportes Inventariado de los soportes
Acceso controlado del personal autorizado
Ficheros Estructura de los ficheros Procedimiento de autorizaciones de salida de soportes
Sistema informtico de acceso a los ficheros Procedimiento de baja de soportes
Programas informticos utilizados para el tratamiento Registro de entrada y salida de soportes
Ubicacin fsica del fichero Distribucin de soportes informticos cifrada
Incidencias Registro de Incidencias
Procedimiento de recuperacin de los datos de incidencias
2 0 03 Ad h e c 9
Glosario
Activo Incidencia
Recurso fsico que permite dar soporte, almacenamiento, gestin o tratamiento Cualquier anomala que afecte o pudiera afectar a la seguridad de los datos.
de los ficheros, de forma directa o indirecta.
Medidas de seguridad
Afectado o interesado
Requerimientos exigidos a los ficheros con datos de carcter personal para
Persona fsica titular de los datos que sean objeto de tratamiento por parte que garanticen la seguridad de los datos en funcin del nivel de los mismos.
de otros.
Mtrica
Anlisis del riesgo
La mtrica es un conjunto de datos cuantificables que permiten caracterizar
Identificacin de las amenazas que acechan a los distintos componentes procesos y productos, de la misma manera que se caracterizan objetos
pertenecientes o relacionados con el sistema de informacin; para determinar fsicos en trminos de longitud, altura y profundidad.
la vulnerabilidad del sistema ante esas amenazas y para estimar el impacto
o grado de perjuicio que una seguridad insuficiente puede tener para la
organizacin, obteniendo cierto conocimiento del riesgo que se corre. Nivel de seguridad
Clasificacin de los ficheros en funcin de los datos de carcter personal
auditora que posean.
Proceso sistemtico, independiente y documentado para obtener evidencias
y evaluarlas de manera objetiva con el fin de determinar el alcance al que Plan de contingencias
se cumplen los procedimientos o requisitos contra los que se compara la
evidencia. Forma detallada en que la organizacin debe reaccionar para asegurar que
las aplicaciones sigan activas ante determinados eventos, accidentales o
deliberados
Cesin de datos
Toda revelacin de datos realizada a una persona distinta del interesado Procedimiento de disociacin
Todo tratamiento de datos personales de modo que la informacin que se
Consentimiento del interesado obtenga no pueda asociarse a persona identificada o identificable
Toda manifestacin de voluntad, libre, inequvoca, especfica e informada,
mediante la que el interesado consienta el tratamiento de datos personales Responsable de seguridad
que le conciernen.
Persona o personas a las que el responsable del fichero ha asignado
formalmente la funcin de coordinar y controlar las medidas de seguridad
Control de acceso aplicables.
Esfuerzo para que slo aquellos usuarios autorizados accedan a los recursos
del sistema o a la red, como por ejemplo mediante las contraseas de Responsable del fichero
acceso.
Persona fsica o jurdica, de naturaleza pblica o privada, u rgano
administrativo, que decida sobre la finalidad, contenido y uso del fichero.
Copias de seguridad
Sistema de almacenamiento que permite recuperar los datos de un sistema Riesgo
de informacin a travs de unos procedimientos de recuperacin. Este
proceso de recuperacin provoca la falta de disponibilidad de los sistemas Es la probabilidad de que una amenaza se materialice sobre una vulnerabilidad
de informacin. del sistema de informacin, causando un impacto en la empresa.
Fichero Contenedores fsicos que permiten almacenar de una forma u otra ficheros
o datos de carcter personal.
2 0 03 Ad h e c 10
Aviso legal:
Los derechos de propiedad intelectual de todos los contenidos de este documento, su diseo grfico y textos son titularidad de EFENET
Igualmente, todos los nombres comerciales, marcas o signos distintos de cualquier clase contenidos en este documento son propiedad de sus dueos y
estn protegidos por la ley. Por tanto, queda prohibida cualquier duplicacin, reproduccin, comunicacin pblica, transformacin, uso de la informacin
contenida, cualquier otra actividad que se pueda realizar con parte o la totalidad del presente documento o as como cualquier otra posible accin u omisin
ni an citando las fuentes, salvo consentimiento de EFENET
2 0 03 Ad h e c