las medidas de seguridad en el reglamento rd …€¦ · el cumplimiento de la seguridad en la...

Las medidas de seguridad en el Reglamento RD-1720/2007

El cumplimiento de la seguridad en la LOPD,

paso a paso

Abril, 2008 Las medidas de seguridad del RD-LOPD 2

Resumen de principales novedades 1…

• Se incluye el concepto de tratamiento no automatizado (ficheros manuales)

• Niveles de seguridad de los ficheros– Nivel básico: queda igual– Nivel medio: se matiza su aplicación– Nivel alto: violencia de género

• Documento de Seguridad– Puede ser único para toda la organización, individual para cada fichero o

tratamiento o agrupado por sistema de tratamiento.– Art 5: identificación de los ficheros tratados por cuenta de terceros– Art 6: delegación del Documento de Seguridad al encargado del tratamiento

• Identificación y autenticación– La identificación inequívoca y personalizada de todo usuario pasa del nivel

medio al básico. Art 93.1


…y 2 Resumen de principales novedades• Control de acceso

– Se incluye el concepto de usuario, perfil de usuario y acceso autorizado.• Gestión y distribución de soportes y documentos

– Las medidas para impedir la recuperación de datos en caso de desecho de bajan del nivel medio al básico.

– Se incluye el concepto de “crypto-etiquetado” para el nivel alto (art 101.1)– Se incluye el concepto de documento, además del de soporte

• Copias de respaldo y recuperación– Se incluye una verificación semestral de los procedimientos de copia– Se incluye la cláusula de las pruebas con datos reales

• Registro de accesos– Se incluye una excepción (art 103.6) a la existencia de este registro– Además de lo anterior se añade toda la parte de las medidas de seguridad

para los tratamientos no automatizados


Resumen medidas nivel BásicoFicheros automatizados y no automatizados

Art. 89. Funciones y obligaciones del personalArt. 90. Registro de incidenciasArt. 91. Control de accesoArt. 92. Gestión de soportes y documentos

Sólo automatizados Sólo no automatizadosArt. 93. Identificación y

autenticaciónArt. 94. Copias de respaldo y

recuperación

Art. 106. Criterios de archivo- posibilitar derechos ARCO

Art. 107. Dispositivos de almacenamiento- mecanismos apertura

Art. 108. Custodia de los soportes- en el proceso de tramitación


Resumen medidas nivel MedioFicheros automatizados y no automatizadosArts. 95 y 109: Responsable de seguridadArts. 96 y 110: Auditoria

Sólo automatizados Sólo no automatizadosArt. 97. Gestión de soportesArt. 98. Identificación y autenticaciónArt. 99. Control de acceso físicoArt. 100. Registro de incidencias


Resumen medidas nivel AltoSólo automatizados Sólo no automatizados

Art. 101. Gestión y distribución de soportes

–Cifrado de datos. Evitar dispositivos que no permitan el cifrado

Art. 102. Copias de respaldo y recuperaciónArt. 103. Registro de accesos

–Excepción: Responsable persona física y único usuario

Art. 104. Telecomunicaciones– Cifrado en redes públicas o inalámbricas

Art. 111. Almacenamiento de la información

–Archivadores, áreas restringidasArt. 112. Copia o reproducción

–Personal autorizadoArt. 113. Acceso a la documentación

–Mecanismo identificación accesos por diferentes usuarios

Art. 114. Traslado de documentación–Impedir acceso, manipulación


El cumplimiento de la LOPD, paso a paso

A. DocuménteseB. Cumpla con los requisitos formalesC. Cumpla con las obligaciones

materialesD. Vigile y haga vigilar las medidas de

seguridad


A.- Documentándose sobre la LOPD1. Como punto de partida, examine nuestra

página web (www.avpd.es).2. Lea la Ley Orgánica de Protección de Datos

(LOPD, Ley 15/1999), 3. Lea la Ley Autonómica de Creación de la

Agencia Vasca de Protección de Datos (LAVPD, Ley 2/2004),

4. Lea el nuevo Reglamento (RD-1720/2007), de Desarrollo de la LOPD

http://www.avpd.es/


B.- Cumpliendo con los requisitos formales:

1. Efectuar el inventario más completo posible de los posibles ficheros de datos personales

2. Identificar las características necesarias para su declaración, recogidas en el artículo 20 de la LOPD y desarrolladas en el artículo 54 del RD-1720/2007

3. Cumplimentar, a modo de borrador, el Programa de Autodeclaración que facilita la AVPD en su página webwww.avpd.es

4. Confeccionar la disposición de regulación de ficheros5. Aprobar dicha disposición y publicarla en el Boletín Oficial que

corresponda 6. Cumplimentar definitivamente el Programa de Autodeclaración

y remitir la declaración a la AVPD

http://www.avpd.es/


C.– Cumpliendo con las obligaciones materiales

1. Tratar adecuadamente los Datos Personales– Recogida de datos– Mantenimiento y actualización.– Secreto Profesional

2. Facilitar a quienes figuren en los ficheros el ejercicio de sus derechos A.R.C.O.– (Acceso, Rectificación, Cancelación y Oposición)

3. Otras Recomendaciones: – Adopción de Códigos Tipo o Manuales de Buenas Prácticas– Prestar atención a los contratos con terceros– Proporcionar apoyo y formación al personal


D.- El Decálogo de las medidas de seguridad

1. Disponer de un Documento de Seguridad,… y aplicarlo!!!2. Designar un Responsable de Seguridad3. Efectuar Auditorías y Controles periódicos4. Definir y documentar las funciones y obligaciones del personal5. Prever y gestionar las incidencias de seguridad6. Disponer de controles y registros de accesos7. Identificar y autenticar a los usuarios8. Gestionar los accesos a través de la redes de comunicaciones9. Gestionar los soportes y documentos donde se almacena la

información10. Procedimentar las copias de respaldo y recuperación


1.- Documento de Seguridad Nivel Básico Nivel Medio Nivel Alto

Aplicable a ficheros automatizados y manuales

Establece y recopila:El Ámbito de aplicación.Las medidas, normas, procedimientos y estándares de seguridad.Las funciones y obligaciones del personal.La estructura de los ficheros y la descripción de los sistemas de información.Los procedimientos de gestión y respuesta ante incidencias.Los procedimientos de realización de las copias de respaldo y recuperación de datos. Las Medidas para el transporte, destrucción y reutilización de soportes.

Además debe contener:La Identificación del responsable de seguridad.Los Controles periódicos del cumplimiento del documento.


2.- Responsable de Seguridad Nivel Básico Nivel Medio Nivel Alto


Debe existir uno o varios, designados por el responsable del fichero.Es el encargado de coordinar y controlar las medidas del documento de seguridad.En ningún caso esta designación supone una exoneración de la responsabilidad que corresponde al responsable del fichero


3.- Auditorías y Controles periódicos del Documento de Seguridad

Nivel Básico Nivel Medio Nivel Alto


Al menos una auditoría cada dos años.Cuando se realicen modificaciones sustancialesPuede ser interna o externa.Debe dictaminar sobre:

Adecuación de medidas y controles.Deficiencias identificadasMedidas correctoras necesarias.

El responsable de seguridad debe:Analizar el informe de AuditoríaElevar sus conclusiones al responsable del fichero

A disposición de la AVPD


4.- Funciones y obligaciones del Personal



Las funciones y obligaciones habrán de estar claramente definidas y documentadas.Deben definirse las funciones de control y autorizaciones delegadasEl personal debe conocer las normas que les afectenEl personal debe conocer las consecuencias de su incumplimiento.


5.- Procedimiento de Gestión de Incidencias



Aplicable solo a ficheros automatizados

Debe existir un Registro de Incidencias con:

tipo de incidencia,cuándo se ha producido,persona que la notificia,persona a quien se comunicaefectos derivados.

Además, debe contener:Procedimientos efectuados para recuperación de los datos,persona que lo ejecuta,datos restaurados datos grabados manualmente.

Es necesaria la autorización por escrito del responsable del fichero para su recuperación.


6.- Controles y Registros de Accesos para ficheros automatizados




Los usuarios accederán únicamente a los datos y recursos necesarios para sus funciones.Habrá mecanismos para evitar el acceso con distintos derechos de los autorizados.La concesión de derechos de acceso sólo la dará personal autorizado.

Existirán controles de acceso físico a los locales donde se encuentren ubicados los sistemas de información.

Existirá un Registro de Accesos donde figurará:

usuario,hora,fichero,tipo accesoregistro accedido.

Estará bajo el control del responsable de seguridad.Se hará un informe mensual.Se conservará al menos durante 2 años.


6.- Controles y Registros de Accesos para ficheros manuales



Aplicable solo a ficheros manuales

Los usuarios accederán únicamente a los datos y recursos necesarios para sus funciones.Habrá mecanismos para evitar el acceso con distintos derechos de los autorizados.La concesión de derechos de acceso sólo la darápersonal autorizado.

El acceso se limitará al personal autorizado.Habrá mecanismos para identificar los accesos a documentos disponibles para múltiples usuariosProcedimiento en el Documento de Seguridad para registrar los accesos de otras personas


7.- Identificación y AutenticaciónNivel Básico Nivel Medio Nivel Alto


Ha de existir una relación actualizada de usuarios y sus accesos autorizados.Se requiere un procedimiento de asignación y gestión de contraseñasExistirá un periodo de caducidad para las contraseñas.Se almacenarán de forma ininteligible.

Se identificará univoca y personalmente a cada usuarioExistirá un límite al número de intentos reiterados de acceso no autorizado.


8.- Acceso y transmisión mediante Telecomunicaciones



Las medidas de seguridad exigibles a los accesos mediante redes de comunicaciones deberán de garantizar un nivel de seguridad equivalente al los accesos en modo local

La transmisión de datos a través de redes de telecomunicaciones se realizará cifrando los datos o mediante cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros


9.- Gestión de Soportespara ficheros automatizados




Debe identificarse el tipo de datos que contienen.Existirá un inventario de soportesSe almacenarán en un lugar con acceso restringido.Deberá autorizarse la salida de soportes.

Habrá un registro de entrada y salida de soportes.Se adoptarán medidas para impedir la recuperación posterior de información de un soporte que vaya a ser desechado o reutilizado.

Cuando sea necesario distribuir soportes, se harácifrando los datos o mediante cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros.


9.- Gestión de Soportes y Documentospara ficheros manuales


Aplicable solo a ficheros manuales

Se aplicarán criterios de archivo que permitan la conservación, localización y consultaLos dispositivos de almacenamiento tendrán mecanismos que obstaculicen su aperturaCuando la documentación no se encuentre archivada, su depositario deberá custodiarla e impedir accesos no autorizados

El acceso a armarios, archivadores, etc. estaráprotegido mediante puertas con cerradura. Cuando no se acceda, permanecerán cerradas.Soluciones alternativas, motivadas en el Documento de SeguridadSiempre que se proceda al traslado físico de documentación, deberán adoptarse medidas para impedir su acceso o manipulación


10.- Procedimientos de Respaldo y Recuperación



Habrá procedimientos de copias de respaldo y recuperación y se verificará su definición y aplicaciónSe debe garantizar la reconstrucción de los datos al mismo estado en que se encontraban en el momento de producirse la pérdida o destrucción.Se deberán efectuar copias de respaldo, al menos de forma semanal

Las copias de respaldo y los procedimientos de recuperación se conservarán en un lugar diferente de donde se encuentren los equipos.

las medidas de seguridad en el reglamento rd …€¦ · el cumplimiento de la seguridad en la...

Documents