1 / 38

Auditoría ART. 17 RD994/99 Sistemas de Información Nivel Alto ESTRATEGIA DE SEGURIDAD

Auditoría ART. 17 RD994/99 Sistemas de Información Nivel Alto ESTRATEGIA DE SEGURIDAD. Mar Martínez. Barcelona , 21 de Septiembre de 2006. Agenda. Objetivos Principios Generales Reglamento de Seguridad Auditoría Factores de riesgo. Ámbito.

rebekah-joyner
Download Presentation

Auditoría ART. 17 RD994/99 Sistemas de Información Nivel Alto ESTRATEGIA DE SEGURIDAD

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Auditoría ART. 17 RD994/99Sistemas de Información Nivel AltoESTRATEGIA DE SEGURIDAD Mar Martínez Barcelona, 21 de Septiembre de 2006

  2. Agenda • Objetivos • Principios Generales • Reglamento de Seguridad • Auditoría • Factores de riesgo

  3. Ámbito Todos los sistemas de información e instalaciones de tratamiento de datos que contengan ficheros de nivel medio y alto tendrán que someterse a una auditoría interna o externa, que verifique el cumplimiento de Reglamento de Seguridad, de los procedimientos e instrucciones vigentes en materias de seguridad de datos, al menos, cada dos años.

  4. Marco Jurídico LOPD • Derecho de Información tratamiento datos personales • Derecho del ciudadano acceso, rectificación, cancelación y oposición • Principio de Finalidad • Principio de Seguridad (RD 994/99) • Creación de Ficheros de Datos Personales e Inscripción

  5. Requisitos Generales • Cumplimiento principios protección datos e implantación de las medidas de cumplimiento del marco jurídico • Adecuación de cesiones • Proyecto de disposición de carácter general y notificación Registro de Ficheros (Declaración de ficheros) • Nombramiento formal de responsable de seguridad (en ningún caso esta designación supone una delegación de responsabilidades que corresponde a responsable del fichero) • Identificación de encargados de tratamiento y firma de cláusulas contractuales Requisitos Jurídicos

  6. Medidas de Seguridad Jurídicas y Organizativas Funciones y obligaciones del personal definidas en función de sus competencias en relación con el acceso, el archivo y la conservación de la documentación . Procedimiento que garantice que el personal conoce sus obligaciones y las consecuencias en caso de incumplimiento (Código Buenas Prácticas)

  7. El Reglamento de Medidas de Seguridad • Convenio 108 del Consejo de Europa • Directiva 95(46) • LOPD Todos estos textos legales citan obligaciones sobre seguridad pero ningún texto especifica las medidas de seguridad que deben cumplir los tratamientos y ficheros que contengan datos personales excepto el RD 994/99

  8. El Reglamento de Medidas de Seguridad Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de medidas seguridad de los ficheros automatizados que contengan datos de carácter personal. BOE Nº 151 (Viernes 25 de junio de 1999)

  9. El Reglamento de Medidas de Seguridad Obliga a implantar unas medidas que preserven la información personal para que únicamente pueda ser tratada con las siguientes garantías: evitar su alteración o borrado evitar su divulgación no autorizada

  10. El Reglamento de Medidas de Seguridad • Principio de finalidad: los datos de una organización recogidos y tratados para una finalidad determinada no podrán utilizarse para fines diferentes e incompatibles • Principio de conservación: los soportes que contengan datos personales deben ser conservados con garantías • Deber de secreto

  11. El Reglamento de Medidas de Seguridad Justificación o Motivación de los Niveles de Seguridad y su aplicación Artículo 3 - NIVELES DE SEGURIDAD Las medidas se clasifican en tres niveles: BÁSICO, MEDIO, ALTO. Los niveles se clasifican atendiendo a la naturaleza de la información tratada en relación con el mayor o menor necesidad para garantizar la confidencialidad y la integridad de la información.

  12. El Reglamento de Medidas de Seguridad Artículo 4 - LA APLICACIÓN DE LOS NIVELES DE SEGURIDAD NIVEL BÁSICO: Todos los ficheros que contengan datos de carácter personal, deberán adoptar las medidas de seguridad calificadas como Nivel Básico. Las medidas de seguridad de nivel básico, reguladas en los artículos 8 a 14 del Reglamento, consisten fundamentalmente en la elaboración e implantación del llamado documento de seguridad, así como en la adopción de medidas referentes al control de acceso e identificación de los distintos usuarios que accedan al sistema. NIVEL BÁSICO

  13. El Reglamento de Medidas de Seguridad Artículo 8.2 – Documento de seguridad a.-Ámbito de aplicación del documento con especificación detallada de los recursos protegidos. b.-Medidas, normas, procedimientos, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en este Reglamento. c.-Funciones y obligaciones del personal. d.-Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan. e.-Procedimiento de notificación, gestión y respuesta ante las incidencias. f.-Los procedimientos de realización de copias de respaldo y de recuperación de los datos. NIVEL BÁSICO

  14. El Reglamento de Medidas de Seguridad Artículo 9.- Funciones y obligaciones del personal. Las funciones y obligaciones de cada una de las personas con acceso a los datos de carácter personal y a los sistemas de información estarán claramente definidas y documentadas, de acuerdo con lo previsto en el artículo 8.2.c) NIVEL BÁSICO

  15. El Reglamento de Medidas de Seguridad Artículo 10.- Registro de incidencias. El procedimiento de notificación y gestión de incidencias contendrá necesariamente un registro en el que se haga constar el tipo de incidencia, el momento en que se ha producido, la persona que realiza la notificación, a quién se le comunica y los efectos que se hubieran derivado de la misma. NIVEL BÁSICO

  16. El Reglamento de Medidas de Seguridad Artículo 11.- Identificación y autenticación. 1.- El responsable del fichero se encargará de que exista una relación actualizada de usuarios que tengan acceso autorizado al sistema de información y de establecer procedimientos de identificación y autenticación para dicho acceso. 2.- Cuando el mecanismo de autenticación se base en la existencia de contraseñas existirá un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad. 3.- Las contraseñas se cambiarán con la periodicidad que se determine en el documento de seguridad y mientras estén vigentes se almacenarán de forma ininteligible. NIVEL BÁSICO

  17. El Reglamento de Medidas de Seguridad Artículo 12.- Control de acceso. Los usuarios tendrán acceso autorizado únicamente a aquellos datos y recursos que precisen para el desarrollo de sus funciones. Exclusivamente el personal autorizado para ello en el documento de seguridad podrá conceder, alterar o anular el acceso autorizado sobre los datos. NIVEL BÁSICO

  18. El Reglamento de Medidas de Seguridad Artículo 13.- Gestión de soportes. La salida de soportes informáticos que contengan datos de carácter personal, fuera de los locales en los que esté ubicado el fichero, únicamente podrá ser autorizada, por el responsable del fichero. Artículo 14. - Copias de respaldo y recuperación. Deberán realizarse copias de respaldo, al menos semanalmente, salvo que en dicho periodo no se hubiera producido ninguna actualización de los datos. NIVEL BÁSICO

  19. El Reglamento de Medidas de Seguridad Ficheros que contengan datos relativos: (Artículo 4.2) • Comisión de Infracciones administrativas o penales • Haciendas Públicas: únicamente los de titularidad pública que tengan potestad en materia tributaria. Los ficheros que contengan datos relativos a obligaciones tributarias de terceros que formen parte de ficheros de titularidad privada, no se encuentran incluidos entre los definidos en el artículo 4.2 del Real Decreto 994/1999, de 11 de junio. NIVEL MEDIO

  20. El Reglamento de Medidas de Seguridad Se garantizará el principio de uso y tratamiento de estos datos para una finalidad determinada y no incompatible: - Artículo 16. Responsable de seguridad - Articulo 17. Auditoría - Artículo 18. Identificación y autenticación. - Artículo 19. Control de acceso físico. - Artículo 20. Gestión de soportes. NIVEL MEDIO

  21. El Reglamento de Medidas de Seguridad • Artículo 21. Registro de Incidencias (procedimiento de recuperación de datos y autorización por escrito para la ejecución de procedimientos de recuperación de datos) • Artículo 22. Pruebas con datos reales (requieren todas las medidas de seguridad implantadas) NIVEL MEDIO

  22. El Reglamento de Medidas de Seguridad Medidas que garanticen una seguridad apropiada, habida cuenta de la naturaleza sensible de estos datos y los riesgos potenciales (en datos de salud, la propia protección de los pacientes) • Los ficheros que contengan datos de ideología, creencias, religión, origen racial, salud y vida sexual. • Fines policiales sin consentimiento (EUROPOL) NIVEL ALTO

  23. El Reglamento de Medidas de Seguridad • Datos médicos: relativos a la salud de una persona (afecta a los datos relacionados con salud, suelen incluir origen racial, vida sexual y según la especialidad ideologías y religión.) La LOPD en el artículo 9.3 hace una referencia a las medidas requeridas en el tratamiento de datos relativos a la salud. Si bien es cierto que en algunos supuestos, el coste de su implantación puede ser elevado, se entiende que es imprescindible exigirlas atendiendo a la especial naturaleza de los datos y al reforzamiento de la protección que los mismos requieren. NIVEL ALTO

  24. El Reglamento de Medidas de Seguridad • La Recomendación R(97)5 del Comité de Ministros del Consejo de Europa dentro del ámbito del Convenio 108 para la protección de las personas, exige en el tratamiento de datos de salud unas medidas de seguridad en la misma línea del Reglamento. NIVEL ALTO

  25. El Reglamento de Medidas de Seguridad • Artículo 23. Distribución de soportes. Gestión de soportes cifrados de datos. • Artículo 26. Cifrado en las comunicaciones. Garantizar que la información no sea inteligible ni manipulada por terceros

  26. Objetivo Auditoría • CUMPLIR obligación legal/evitar sanción art. 44.3h) • GARANTIZAR un nivel seguridad adecuado con el objetivo de añadir valor y calidad a los procesos de la organización

  27. El Reglamento de Medidas de Seguridad Artículo 17 Auditoría externa/interna. Concepto de auditoría informática (concepto ampliamente utilizado en el sector de las tecnologías aunque no está formalmente definido.) El auditor externo o interno que no actúe con profesionalidad, independencia y ética, incurrirá en responsabilidad. Persona independiente designada por el responsable de los ficheros.

  28. Art. 17 Auditoría • Los sistemas de información y las instalaciones se deberán someter a una auditoría externa o interna, que verifique el cumplimiento del Reglamento de seguridad • El informe de auditoría deberá dictaminar sobre la adecuación de las medidas y controles, identificar deficiencias • Proponer medidas correctoras o complementarias

  29. Art. 17 Auditoría • El informe de auditoría deberá incluir datos, hechos y observaciones y recomendaciones propuestas • Los informes serán analizados por el responsable de seguridad competente, que elevará las conclusiones al responsable de los ficheros

  30. MARCO REGULADORCódigos Tipo Considerando (61) de la Directiva 95/46/CE Los Estados miembros y la Comisión, deben alentar a los sectoresprofesionales para que elaboren códigos de conducta a fin de facilitar la aplicación de la Directiva. Artículo 27 de la Directiva 95/46/CE • La elaboración de códigos de conducta deben contribuir a la correcta aplicación de las disposiciones nacionales adoptadas en aplicación de la Directiva. • Pueden someterse a examen de las Autoridades de Control. • Deben desarrollarse en función de las particularidades de cada sector habida cuenta del carácter específico del tratamiento de datos efectuadas en determinados sectores.

  31. MARCO REGULADORCódigos Tipo Artículo 32 de la Ley Orgánica 15/1999 ¿Quién puede promover o formular Códigos Tipo o de Conducta? • Asociaciones profesionales • Organizaciones donde se agrupen representantes de responsables de tratamiento: • Acuerdos sectoriales • Decisiones de empresa • Convenios administrativos

  32. MARCO REGULADORCódigos Tipo (Art. 32 LOPD) Se podrán formular Códigos Tipo que establezcan: • Condiciones de organización: • reglas operacionales • estándares técnicos • Régimen de funcionamiento • Procedimientos aplicables • Normas de seguridad: • entorno • programas • equipos

  33. MARCO REGULADOR Códigos Tipo (Art. 32 LOPD) (...) • Obligaciones implicados. • Uso de los datos personales. • Garantía para el ejercicio de los derechos de las personas con pleno respeto a los principios y disposiciones de la Ley y normas de desarrollo

  34. MARCO REGULADOR Códigos Tipo (...) • Los Códigos Tipo tendrán el carácter de códigos deontológicos o de buena práctica. • Deben ser depositados para su inscripción en el Registro General de Protección de Datos RGPD (artículo 39 LOPD) • El RGPD podrá denegar la inscripción cuando considere que no se ajusta a las disposiciones legales y reglamentarias. En este caso se requiere a los solicitantes para que efectúen las correcciones oportunas.

  35. MARCO REGULADOR Códigos Tipo Artículo 9 del Real Decreto 1332/1994 • Los particulares podrán obtener copias de los códigos tipos depositados e inscritos. • En caso de incumplimiento de las normas contenidas en el Código Tipo se estará a lo dispuesto, en los acuerdos o decisiones que los formulen. En la página web de la AEPD https://www.agpd.es se puede obtener copia completa de los Códigos Tipo depositados e inscrito en el RGPD.

  36. MARCO REGULADOR Códigos de Conducta Artículo 18: • Promueve la elaboración de códigos de conducta sobre los servicios de la sociedad de información • Adaptar los diversos preceptos de la Ley a las características específicas de cada sector • Las AAPP impulsarán, a través de la coordinación y el asesoramiento, la elaboración y aplicación de códigos de conducta Ley 34/2002 de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSI). (Modificada por la Ley 59/2003 de Firma Electrónica):

  37. Código Europeo de Conducta respecto del Uso de Datos Personales en el Marketing Directo Dictamen 3/2003 del Grupo del Artículo 29 WP77 (Adoptado el 13 de junio de 2002) • La propuesta del Código se ajusta a la Directiva • El Código debe proporcionar suficiente valor añadido • Incluye definiciones de términos utilizados en marketing directo • Detalla situaciones posibles en la recogida de los datos • Trata aspectos específicos como envío publicitarios, divulgación de listas, origen de los datos • Medidas específicas sobre protección menores (participación en juegos, concursos, premios) FEDERACIÓN EUROPEA DE MARKETING DIRECTO (FEDMA)

  38. Muchas Gracias SI-0013/06

More Related