Seguridad y Alta Disponibilidad Legislacin y normas sobre seguridad

Carlos Villarrubia Jimnez Escuela Superior de Informtica Universidad de Castilla-La Mancha

Contenidos

Organismos relacionados con la seguridad informtica Normas sobre gestin de seguridad de la informacin Legislacin sobre los servicios de la sociedad de la informacin y correo electrnico Legislacin sobre proteccin de datos

http://www.esi.uclm.es

Organismos relacionados con la seguridad informtica

Agencia Espaola de Proteccin de Datos: www.agpd.es SANS Institute: www.sans.org Centros de respuesta a incidentes:

CERT: www.cert.org FIRST: www.first.org Centro Nacional de Inteligencia: www.ccn-cert.cni.es Inteco: cert.inteco.es IRIS-CERT: www.rediris.es/cert

Normas ISO sobre gestin de seguridad de la informacin

ISO 27001:2005: Sistemas de Gestin de la Seguridad de la Informacin (SGSI). Requisitos ISO 27002:2005: Cdigo de buenas prcticas para la gestin de la seguridad de la informacin

Normas ISO sobre gestin de seguridad de la informacin

ISO TR 13335:1996 Gua para la gestin de la seguridad de TI.

Parte 1: Conceptos y modelos para la seguridad de TI Parte 2: Gestin y planificacin de la seguridad de TI Parte 3: Tcnicas para la gestin de la seguridad de TI

ISO 7498-2:Interconexin de sistemas abiertos Modelo de referencia bsico. Parte 2: Arquitectura de seguridad

Legislacin sobre los servicios de la sociedad de la informacin y correo electrnico

Ley 34/2002, de Servicios de Sociedad de la Informacin y de Comercio Electrnico

Identificacin de la empresa Precios de los productos/servicios y totalidad de gastos Acuse de recibo en los pedidos Publicidad electrnica identificada con publicidad o publi y el emisor

Legislacin sobre proteccin de datos

Contexto legislativo Concepto de dato de carcter personal Obligaciones Derechos de las personas Infracciones y sanciones

Legislacin vigente

Constitucin Espaola. Artculo 18.4: La ley limitar el uso de la informtica para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos Ley Orgnica 15/1999 de Proteccin de Datos de Carcter Personal (LOPD) Real Decreto 1720/2007 por el que se aprueba el Reglamento de Desarrollo de la LOPD (RLOPD)

Ejemplos de ficheros con datos

1.Curso Seguridad: Nombre y apellidos 2.Curso Seguridad: NIF 3.Curso Seguridad: Nombre, apellidos y huella dactilar 4.Curso Seguridad: Nombre, apellidos y nota del curso 5.Curso Seguridad: Direccin IP del cliente, pgina accedida y fecha 6.Multas de trfico: Matrcula e importe de multa

Ejemplos de ficheros con datos

6.Acceso al edificio: Nombre, apellidos, DNI y sexo 7.Acceso al edificio: Nombre, apellidos, DNI, sexo y raza 8.Nomina: Nombre, apellidos y salario 9.Recursos Humanos: Nombre, apellidos, salario, retencin fscal y descuento por n de hijos 10.Recursos Humanos: Nombre, apellidos, salario, retencin fiscal, descuento por n de hijos, descuento por grado de discapacidad y abono por afiliacin sindical

Ejemplos de ficheros con datos

11.Biblioteca: DNI y libros prestados 12.Accidentes: DNI, accidente sufrido y fecha 13.Clientes bancarios: DNI y saldo en la cuenta 14.Asociaciones: Nombre asociacin, direccin, nombre y apellidos del representante 15.Directorio: Nombre, apellidos, correo electrnico y extensin telefnica

Concepto de dato de carcter personal

Es toda informacin de cualquier clase (numrica, alfabtica, grfica, fotogrfica, acstica, etc.) concerniente a personas fsicas identificadas o identificables Ejemplos: Nombre, domicilio postal y/o electrnico, DNI, telfono, nota de una examen, fotografa, n de zapato, etc

Tipos de datos segn la seguridad requerida

Nivel Bsico: Todos los datos personales que no sean de nivel medio o alto. Nivel por defecto Nivel Medio: Datos ms sensibles Nivel Alto: Datos especialmente protegidos

Nivel Bsico

Identificativos, caractersticas personales, circunstancias sociales, acadmicos y profesionales, empleo y puestos de trabajo, informacin comercial, econmica, etc...

Nivel Medio

Infracciones administrativas o penales, ficheros de solvencia patrimonial y crdito, administracin tributaria, prestacin de servicios financieros, seguridad social, mutuas de accidentes y los que permiten evaluar la personalidad

Nivel Alto

Salud Vida sexual Origen racial Ideologa y creencias Afiliacin sindical Religin Violencia de gnero Datos recabados para fines policiales sin consentimiento

Excepciones

Un fichero tiene el nivel del dato con mayor nivel excepto:

Datos de nivel alto con la nica finalidad de realizar una transferencia dineraria a las entidades de las que los afectados sean miembros Datos de salud relativos al grado de discapacidad con motivo de cumplimiento de deberes pblicos

Ejemplos de ficheros con datos

1.Curso Seguridad: Nombre y apellidos 2.Curso Seguridad: NIF 3.Curso Seguridad: Nombre, apellidos y huella dactilar 4.Curso Seguridad: Nombre, apellidos y nota del curso 5.Curso Seguridad: Direccin IP del cliente, pgina accedida y fecha 6.Multas de trfico: Matrcula e importe de multa

Ejemplos de ficheros con datos

6.Acceso al edificio: Nombre, apellidos, DNI y sexo 7.Acceso al edificio: Nombre, apellidos, DNI, sexo y raza 8.Nomina: Nombre, apellidos y salario 9.Recursos Humanos: Nombre, apellidos, salario, retencin fscal y descuento por n de hijos 10.Recursos Humanos: Nombre, apellidos, salario, retencin fiscal, descuento por n de hijos, descuento por grado de discapacidad y abono por afiliacin sindical

Ejemplos de ficheros con datos

11.Biblioteca: DNI y libros prestados 12.Accidentes: DNI, accidente sufrido y fecha 13.Clientes bancarios: DNI y saldo en la cuenta 14.Asociaciones: Nombre asociacin, direccin, nombre y apellidos del representante 15.Directorio: Nombre, apellidos, correo electrnico y extensin telefnica

Obligaciones bsicas

Con carcter previo a la recogida de los datos Durante el tratamiento de los datos Una vez finalizado el tratamiento

Obligaciones antes de la recogida

Creacin y notificacin de ficheros Calidad de los datos Informacin al interesado Consentimiento del interesado

Obligaciones durante el tratamiento de los datos

Calidad de los datos Deber de secreto Cesin de los datos Acceso a datos por cuenta de terceros Modificacin de ficheros Transferencias internacionales de datos Seguridad de los datos

Seguridad de los datos

1.Documento de seguridad 2.Responsable de seguridad 3.Auditora 4.Personal 5.Identificacin y autentificacin 6.Control y registro de accesos 7.Gestin y distribucin de soportes y documentos 8.Copias de respaldo y recuperacin 9.Registro de incidencias 10.Telecomunicaciones

1 Documento de seguridad

Normativa con el mbito, medidas, normas y procedimientos Nivel medio:

Identifica a los responsables de seguridad Establece los controles peridicos de cumplimiento del documento de seguridad

2 Responsable de seguridad

Nivel medio:

Encargado de coordinar y controlar las medidas de seguridad No es una delegacin de responsabilidad del responsable del fichero

3 Auditora

Nivel medio:

Interna o externa al menos cada 2 aos Informe de adecuacin a las medidas, deficiencias identificadas y propone medidas correctoras Analizado por el responsable de seguridad A disposicin de la AGPD

4 Personal

Funciones y obligaciones de todo el personal con acceso a los datos Difusin entre el personal de las normas que les afecten y las consecuencias por incumplimiento

5 Identificacin y autenticacin

Existencia de medidas de identificacin y autenticacin de usuarios Identificacin unvoca a cada usuario Si se utilizan contraseas existir un procedimiento de asignacin, distribucin y almacenamiento que garantice su confidencialidad e integridad Renovacin mnima anual de contraseas y almacenamiento cifrado

5 Identificacin y autenticacin

Nivel medio:

Mecanismo que limite el n de intentos reiterados de acceso no autorizado

6 Control y registro de accesos

Cada usuario accede nicamente a los datos y recursos necesarios para el desarrollo de sus funciones Existe una relacin actualizada de usuarios, perfiles y accesos autorizados Existen mecanismos para controlar los derechos con que se accede a los recursos Existen mecanismos que gestionen la concesin de permisos de acceso slo por personal autorizado en el documento de seguridad

6 Control y registro de accesos

Nivel medio:

Control de acceso fsico a los locales donde se encuentre los equipos Se registran los intentos de acceso y los accesos auotirzados El registro se conserva durante 2 aos bajo control del responsable de seguridad que realiza un informe mensual Excepcin: persona fsica como responsable y acceso unipersonal

Nivel alto:

7 Gestin y distribucin de soportes y documentos

Identificacin del tipo de informacin contenida Se mantiene un inventario Se almacenan con acceso restringido Se debe autorizar la salida de soportes y adoptar medidas de seguridad para evitar la sustraccin, prdida o acceso indebido Se adoptan medidas en caso de desecho de soportes

7 Gestin y distribucin de soportes y documentos

Nivel medio:

Registro de entrada y salida de soportes Sistema de etiquetado slo comprensible para los usuarios autorizados Se cifran los datos en la distribucin de soportes y en los dispositivos porttiles

Nivel alto:

8 Copias de respaldo y recuperacin

Debe existir un procedimiento de copias de respaldo y recuperacin de datos El procedimiento garantiza la reconstruccin de los datos en el estado original Se realiza una copia de respaldo semanal Comprobacin cada seis del sistema de copias de respaldo y recuperacin Las pruebas no se realizarn con datos reales salvo con medidas de seguridad y se ha hecho una copia de respaldo previamente

8 Copias de respaldo y recuperacin

Nivel alto:

Debe existir una copia de respaldo y de los procedimientos de recuperacin en lugar diferente del que se encuentren los equipos

9 Registro de incidencias

Se debe registrar las incidencias Nivel medio:

Registro de realizacin de procedimiento de recuperacin y persona que lo ejecuta, datos restaurados y grabados manualmente Autorizacin expresa de la ejecucin de los procedimientos de recuperacin de datos

10 Telecomunicaciones

Nivel alto:

La transmisin de datos a travs de redes pblicas o de redes inalmbricas debe ser cifrada

Obligaciones finalizado el tratamiento de los datos

Cancelacin y bloque de los datos Supresin de ficheros

Derechos de las personas

Impugnacin de valoraciones Derecho de consulta al Registro General de Proteccin de Datos Derecho de indemnizacin Derechos ARCO:

Acceso Rectificacin Cancelacin Oposicin

Infracciones y sanciones

Leves: De 601 a 60.000 Graves: De 60.001 a 300.000 Muy graves: De 300.001 a 600.000

Documentacin

Sitios web de los organismos indicados anteriormente La proteccin de datos personas versin 2.0. Soluciones en entornos Microsoft