310 likes | 484 Views
Auditoría Informática. Reglamento de Medidas de Seguridad. Salir. Continuar. Índice. Introducción Niveles de Seguridad Documento de Seguridad El Responsable de Seguridad Sanciones. Salir. Introducción.
E N D
Auditoría Informática Reglamento de Medidas de Seguridad Salir Continuar
Índice • Introducción • Niveles de Seguridad • Documento de Seguridad • El Responsable de Seguridad • Sanciones Salir
Introducción • Objetivo: Establecer las medidas de índole técnica y organizativas necesarias para garantizar la seguridad que deben reunir: • Los ficheros automatizados • Los centros de tratamientos locales • Equipos • Sistemas • Programas • Personas que intervienen en el proceso
Introducción • Antecedentes Internacionales: • La Declaración Universal de los Derechos Humanos adoptada y proclamada por la ONU el 10 de diciembre de 1948. • El Convenio Europeo para la Protección de los Derechos Humanos y Libertades Fundamentales de 4 de noviembre de 1950. • La Resolución 721/80. Informática y protección de los derechos del hombre. • La Recomendación 890/80. Protección de datos de carácter personal.
Introducción • Antecedentes en España: • En la Constitución Española:Artículo 18. Derecho al honor, a la intimidad y a la propia imagen • Se garantiza el derecho al honor, a la intimidad personal y familiar y a la propia imagen. • La Ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos.
Introducción • Principios reguladores de la protección de datos: • Solo podrán recogerse aquellos datos de carácter personal que sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido. • Dichos datos no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos. • Los datos deben ser exactos y el responsable del fichero deberá actualizarlos de oficio en caso de ser inexactos. • Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados.
Introducción • Derechos de los particulares: • Derecho a la información: consentimiento del afectado. • Derecho de acceso: Derecho a obtener información de los datos de carácter personal sometido a tratamiento. • Derecho de rectificación. • Derecho de cancelación. • Deber de secreto.
Índice • Introducción • Niveles de Seguridad • Documento de Seguridad • El Responsable de Seguridad • Sanciones Salir
Niveles de Seguridad • Los niveles de seguridad son los siguientes: • Nivel Básico • Nivel Medio • Nivel Alto
Niveles de Seguridad Existen Medidas de Seguridad a tomar según la clasificación de nivel de seguridad anterior: • Medidas de Seguridad de nivel básico: • Sistema de Registro de incidencias. • Relación actualizada usuarios/recursos autorizados (art. 11.1 y art. 12.3 RMS). • Existencia de mecanismos de identificación y autenticación de los accesos autorizados (art. 11 RMS).
Niveles de Seguridad • Restricción solo a los datos necesarios para cumplir cada función (art. 12 RMS). • Gestión de soportes informáticos con datos de carácter personal (art. 12.1 RMS). • Inventariados. • Con acceso restringido. • Copias de seguridad semanalmente.
Niveles de Seguridad • Medidas de seguridad de nivel medio, además de lo estipulado para el nivel bajo: • Designación de uno o varios responsables de seguridad (art. 16 RMS). • Auditoría al menos una vez cada dos años. • Mecanismos para identificación inequívoca y personalizada de los usuarios (art. 18 RMS). • Limitación de los intentos de acceso no autorizados (art. 18.2 RMS). • Medidas de control de acceso físico a los locales (art. 19 RMS).
Niveles de Seguridad • Establecimiento de un registro de entradas y salidas de soportes informáticos (art. 20 y 21 RMS). • Establecimiento de medidas para impedir la recuperación indebida de información contenida en soportes desechados o ubicados fuera de su lugar habitual (art. 20.3 y 4 RMS). • Consignación en el registro de incidencias de las operaciones de recuperación de datos, que deberán ser autorizados por escrito por el responsable del fichero (art. 21 RMS).
Niveles de Seguridad • Medidas de seguridad de nivel alto, además de lo indicado para el nivel medio: • Los soportes para distribución deberán tener la información cifrada (art. 23 RMS). • Registro de accesos autorizados y denegados (art. 24 RMS). • Guardar estos registros durante 2 años. • Copias de seguridad guardadas en sitios diferentes (art. 25 RMS). • Transmisiones cifradas (art. 26 RMS).
Niveles de Seguridad • Otras medidas de seguridad exigibles a todos los ficheros: • Los accesos por red están sujetos a las mismas medidas de seguridad exigibles del nivel de seguridad en modo local (art. 5 RMS). • El tratamiento de los datos fuera del local será autorizado expresamente por el responsable del fichero. • Los ficheros temporales se borrarán una vez usados, también se les aplicará el nivel de seguridad pertinente. • El responsable del fichero elaborará el documento de seguridad (art. 8.1 RMS). • Las pruebas con datos reales seguirán las medidas de seguridad pertinentes (art. 22 RMS).
Índice • Introducción • Niveles de Seguridad • Documento de Seguridad • El Responsable de Seguridad • Sanciones Salir
Documento de Seguridad • Introducción: • En el Reglamento no se indica la forma sino el contenido. • Está destinado al personal con acceso a los datos automatizados. • Redactado por el responsable del fichero. • Es un documento dinámico.
Documento de Seguridad • Contenido del documento: • Ámbito de aplicación del documento, con especificación detallada de los recursos protegidos. • Medidas, normas, procedimientos, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en el Reglamento. • Funciones y obligaciones del personal. • Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan. • Procedimiento de notificación, gestión y respuesta ante las incidencias.
Documento de Seguridad • Contenido del documento: • Procedimientos de realización de copias de seguridad y recuperación de datos. • Identificación del personal autorizado para conceder, alterar o anular el acceso a los datos (art. 12.4 RMS). • Identificación del responsable o responsables de seguridad (art. 15 RMS). • Procedimiento de eliminación de datos cuando un soporte vaya a ser desechado o reutilizado (art. 15 RMS). • Identificación del personal con acceso a los locales donde se encuentran los sistemas de información (art. 19 RMS).
Documento de Seguridad • Medidas de índole técnica y organizativa: • Las medidas de seguridad deben responder según el art. 17 de la Directiva 95/46/CE • A los conocimientos técnicos existentes • Al coste de su aplicación • A los riesgos que presente el tratamiento de los datos • A la naturaleza de estos • En la transposición de la Directiva de la LOPD se omite la referencia al coste de la adopción.
Documento de Seguridad • Medidas de índole técnica y organizativa:
Documento de Seguridad • Medidas de índole técnica y organizativa:
Documento de Seguridad • Medidas de índole técnica y organizativa:
Documento de Seguridad • Medidas de índole técnica y organizativa:
Documento de Seguridad • Medidas de índole técnica y organizativa: • Funciones y obligaciones del personal: • Funciones de los usuarios: • root • Administrador • Usuarios • . . . • Procedimiento de acceso.
Índice • Introducción • Niveles de Seguridad • Documento de Seguridad • El Responsable de Seguridad • Sanciones Salir
El Responsable de Seguridad • Nivel Medio y Alto: • Coordinar y controlar las medidas definidas en el documento de seguridad: • Analizar los informes de auditoría • Control de los mecanismos de acceso del art. 24 • Informes de los registros • No tiene las responsabilidades del responsable del fichero.
Índice • Introducción • Niveles de Seguridad • Documento de Seguridad • El Responsable de Seguridad • Sanciones Salir
Sanciones • Responsabilidades: • Art. 9.2 ”El responsable del fichero adoptará las medidas necesarias para que el personal conozca las normas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento”. • Art. 16 “El responsable del fichero designará uno o varios responsables de seguridad encargados de coordinar y controlar las medidas definidas en el documento de seguridad. En ningún caso esta designación supone una delegación de la responsabilidad que corresponde al responsable del fichero de acuerdo con este Reglamento”.
Sanciones • Sanciones aplicables: • Sanciones en la LOPD • Leves: de 601,01 a 60.101,21 € • Graves: de 60.101,21 a 300.506,05 € • Muy graves: de 300.506,05 a 601.012,10 € • La cuantía de las sanciones se graduará atendiendo a la naturaleza de los derechos personales afectados, al volumen de los tratamientos efectuados , a los beneficios obtenidos, al grado de intencionalidad, a la reincidencia, a los daños y perjuicios causados a las personas interesadas y a terceras personas, y a cualquier otra circunstancia que sea relevante para determinar el grado de anti juridicidad y de culpabilidad presentes en la concreta actuación infractora.
Auditoría Informática Gracias por su atención