Professional Documents
Culture Documents
Contenidos
Organismos relacionados con la seguridad informtica Normas sobre gestin de seguridad de la informacin Legislacin sobre los servicios de la sociedad de la informacin y correo electrnico Legislacin sobre proteccin de datos
http://www.esi.uclm.es
Agencia Espaola de Proteccin de Datos: www.agpd.es SANS Institute: www.sans.org Centros de respuesta a incidentes:
CERT: www.cert.org FIRST: www.first.org Centro Nacional de Inteligencia: www.ccn-cert.cni.es Inteco: cert.inteco.es IRIS-CERT: www.rediris.es/cert
ISO 27001:2005: Sistemas de Gestin de la Seguridad de la Informacin (SGSI). Requisitos ISO 27002:2005: Cdigo de buenas prcticas para la gestin de la seguridad de la informacin
Parte 1: Conceptos y modelos para la seguridad de TI Parte 2: Gestin y planificacin de la seguridad de TI Parte 3: Tcnicas para la gestin de la seguridad de TI
ISO 7498-2:Interconexin de sistemas abiertos Modelo de referencia bsico. Parte 2: Arquitectura de seguridad
Identificacin de la empresa Precios de los productos/servicios y totalidad de gastos Acuse de recibo en los pedidos Publicidad electrnica identificada con publicidad o publi y el emisor
Contexto legislativo Concepto de dato de carcter personal Obligaciones Derechos de las personas Infracciones y sanciones
Legislacin vigente
Constitucin Espaola. Artculo 18.4: La ley limitar el uso de la informtica para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos Ley Orgnica 15/1999 de Proteccin de Datos de Carcter Personal (LOPD) Real Decreto 1720/2007 por el que se aprueba el Reglamento de Desarrollo de la LOPD (RLOPD)
Es toda informacin de cualquier clase (numrica, alfabtica, grfica, fotogrfica, acstica, etc.) concerniente a personas fsicas identificadas o identificables Ejemplos: Nombre, domicilio postal y/o electrnico, DNI, telfono, nota de una examen, fotografa, n de zapato, etc
Nivel Bsico: Todos los datos personales que no sean de nivel medio o alto. Nivel por defecto Nivel Medio: Datos ms sensibles Nivel Alto: Datos especialmente protegidos
Nivel Bsico
Identificativos, caractersticas personales, circunstancias sociales, acadmicos y profesionales, empleo y puestos de trabajo, informacin comercial, econmica, etc...
Nivel Medio
Infracciones administrativas o penales, ficheros de solvencia patrimonial y crdito, administracin tributaria, prestacin de servicios financieros, seguridad social, mutuas de accidentes y los que permiten evaluar la personalidad
Nivel Alto
Salud Vida sexual Origen racial Ideologa y creencias Afiliacin sindical Religin Violencia de gnero Datos recabados para fines policiales sin consentimiento
Excepciones
Datos de nivel alto con la nica finalidad de realizar una transferencia dineraria a las entidades de las que los afectados sean miembros Datos de salud relativos al grado de discapacidad con motivo de cumplimiento de deberes pblicos
Obligaciones bsicas
Con carcter previo a la recogida de los datos Durante el tratamiento de los datos Una vez finalizado el tratamiento
Creacin y notificacin de ficheros Calidad de los datos Informacin al interesado Consentimiento del interesado
Calidad de los datos Deber de secreto Cesin de los datos Acceso a datos por cuenta de terceros Modificacin de ficheros Transferencias internacionales de datos Seguridad de los datos
1 Documento de seguridad
Identifica a los responsables de seguridad Establece los controles peridicos de cumplimiento del documento de seguridad
2 Responsable de seguridad
Nivel medio:
Encargado de coordinar y controlar las medidas de seguridad No es una delegacin de responsabilidad del responsable del fichero
3 Auditora
Nivel medio:
Interna o externa al menos cada 2 aos Informe de adecuacin a las medidas, deficiencias identificadas y propone medidas correctoras Analizado por el responsable de seguridad A disposicin de la AGPD
4 Personal
Funciones y obligaciones de todo el personal con acceso a los datos Difusin entre el personal de las normas que les afecten y las consecuencias por incumplimiento
5 Identificacin y autenticacin
Existencia de medidas de identificacin y autenticacin de usuarios Identificacin unvoca a cada usuario Si se utilizan contraseas existir un procedimiento de asignacin, distribucin y almacenamiento que garantice su confidencialidad e integridad Renovacin mnima anual de contraseas y almacenamiento cifrado
5 Identificacin y autenticacin
Nivel medio:
Cada usuario accede nicamente a los datos y recursos necesarios para el desarrollo de sus funciones Existe una relacin actualizada de usuarios, perfiles y accesos autorizados Existen mecanismos para controlar los derechos con que se accede a los recursos Existen mecanismos que gestionen la concesin de permisos de acceso slo por personal autorizado en el documento de seguridad
Nivel medio:
Control de acceso fsico a los locales donde se encuentre los equipos Se registran los intentos de acceso y los accesos auotirzados El registro se conserva durante 2 aos bajo control del responsable de seguridad que realiza un informe mensual Excepcin: persona fsica como responsable y acceso unipersonal
Nivel alto:
Identificacin del tipo de informacin contenida Se mantiene un inventario Se almacenan con acceso restringido Se debe autorizar la salida de soportes y adoptar medidas de seguridad para evitar la sustraccin, prdida o acceso indebido Se adoptan medidas en caso de desecho de soportes
Nivel medio:
Registro de entrada y salida de soportes Sistema de etiquetado slo comprensible para los usuarios autorizados Se cifran los datos en la distribucin de soportes y en los dispositivos porttiles
Nivel alto:
Debe existir un procedimiento de copias de respaldo y recuperacin de datos El procedimiento garantiza la reconstruccin de los datos en el estado original Se realiza una copia de respaldo semanal Comprobacin cada seis del sistema de copias de respaldo y recuperacin Las pruebas no se realizarn con datos reales salvo con medidas de seguridad y se ha hecho una copia de respaldo previamente
Nivel alto:
Debe existir una copia de respaldo y de los procedimientos de recuperacin en lugar diferente del que se encuentren los equipos
9 Registro de incidencias
Registro de realizacin de procedimiento de recuperacin y persona que lo ejecuta, datos restaurados y grabados manualmente Autorizacin expresa de la ejecucin de los procedimientos de recuperacin de datos
10 Telecomunicaciones
Nivel alto:
La transmisin de datos a travs de redes pblicas o de redes inalmbricas debe ser cifrada
Impugnacin de valoraciones Derecho de consulta al Registro General de Proteccin de Datos Derecho de indemnizacin Derechos ARCO:
Infracciones y sanciones
Leves: De 601 a 60.000 Graves: De 60.001 a 300.000 Muy graves: De 300.001 a 600.000
Documentacin
Sitios web de los organismos indicados anteriormente La proteccin de datos personas versin 2.0. Soluciones en entornos Microsoft