Auditoría ART. 17 RD994/99 Sistemas de Información Nivel Alto ESTRATEGIA DE SEGURIDAD
-
Upload
rebekah-joyner -
Category
Documents
-
view
44 -
download
1
description
Transcript of Auditoría ART. 17 RD994/99 Sistemas de Información Nivel Alto ESTRATEGIA DE SEGURIDAD
Barcelona, 21 de Septiembre de 2006
Auditoría ART. 17 RD994/99Sistemas de Información
Nivel AltoESTRATEGIA DE SEGURIDAD
Mar Martínez
AUDITORÍA ART. 17 RD994/99 Sistemas de Información Nivel Alto ESTRATEGIA DE SEGURIDAD
Barcelona, 21 de Septiembre de 2006
Agenda
Objetivos
Principios Generales
Reglamento de Seguridad
Auditoría
Factores de riesgo
AUDITORÍA ART. 17 RD994/99 Sistemas de Información Nivel Alto ESTRATEGIA DE SEGURIDAD
Barcelona, 21 de Septiembre de 2006
Ámbito
TTodos los sistemas de información e instalaciones de odos los sistemas de información e instalaciones de
tratamiento de datostratamiento de datos que contengan ficheros de nivel medio y alto tendrán que someterse a una auditoría tendrán que someterse a una auditoría
interna o externainterna o externa, que verifique el cumplimiento de Reglamento de Seguridad, de los procedimientos e instrucciones vigentes en materias de seguridad de datos, al menos, cada dos años.
AUDITORÍA ART. 17 RD994/99 Sistemas de Información Nivel Alto ESTRATEGIA DE SEGURIDAD
Barcelona, 21 de Septiembre de 2006
Marco Jurídico
LOPDLOPD
Derecho de Información tratamiento datos personales
Derecho del ciudadano acceso, rectificación, cancelación y oposición
Principio de Finalidad
Principio de Seguridad (RD 994/99)
Creación de Ficheros de Datos Personales e Inscripción
AUDITORÍA ART. 17 RD994/99 Sistemas de Información Nivel Alto ESTRATEGIA DE SEGURIDAD
Barcelona, 21 de Septiembre de 2006
Requisitos Generales
Cumplimiento principios protección datos e implantación de las medidas de cumplimiento del marco jurídico
Adecuación de cesiones
Proyecto de disposición de carácter general y notificación Registro de Ficheros (Declaración de ficheros)
Nombramiento formal de responsable de seguridad (en ningún caso esta designación supone una delegación de responsabilidades que corresponde a responsable del fichero)
Identificación de encargados de tratamiento y firma de cláusulas contractuales
Requisitos JurídicosRequisitos Jurídicos
AUDITORÍA ART. 17 RD994/99 Sistemas de Información Nivel Alto ESTRATEGIA DE SEGURIDAD
Barcelona, 21 de Septiembre de 2006
Medidas de Seguridad Jurídicas y Organizativas
Funciones y obligaciones del personal definidas en
función de sus competencias en relación con el
acceso, el archivo y la conservación de la
documentación . Procedimiento que garantice que el
personal conoce sus obligaciones y las
consecuencias en caso de incumplimiento (Código
Buenas Prácticas)
AUDITORÍA ART. 17 RD994/99 Sistemas de Información Nivel Alto ESTRATEGIA DE SEGURIDAD
Barcelona, 21 de Septiembre de 2006
El Reglamento de Medidas de Seguridad
• Convenio 108 del Consejo de Europa
• Directiva 95(46)
• LOPD
Todos estos textos legales citan obligaciones sobre seguridad pero
ningún texto especifica las medidas de seguridad que deben
cumplir los tratamientos y ficheros que contengan datos
personales excepto el RD 994/99
AUDITORÍA ART. 17 RD994/99 Sistemas de Información Nivel Alto ESTRATEGIA DE SEGURIDAD
Barcelona, 21 de Septiembre de 2006
Real Decreto 994/1999, de 11 de junio, por el
que se aprueba el Reglamento de medidas
seguridad de los ficheros automatizados que
contengan datos de carácter personal.
BOE Nº 151 (Viernes 25 de junio de 1999)
El Reglamento de Medidas de Seguridad
AUDITORÍA ART. 17 RD994/99 Sistemas de Información Nivel Alto ESTRATEGIA DE SEGURIDAD
Barcelona, 21 de Septiembre de 2006
Obliga a implantar unas medidas que preserven la información personal para que únicamente pueda ser tratada con las siguientes garantías:
evitar su alteración o borrado
evitar su divulgación no autorizada
El Reglamento de Medidas de Seguridad
AUDITORÍA ART. 17 RD994/99 Sistemas de Información Nivel Alto ESTRATEGIA DE SEGURIDAD
Barcelona, 21 de Septiembre de 2006
• Principio de finalidad: los datos de una
organización recogidos y tratados para una
finalidad determinada no podrán utilizarse para
fines diferentes e incompatibles
• Principio de conservación: los soportes que
contengan datos personales deben ser
conservados con garantías
• Deber de secreto
El Reglamento de Medidas de Seguridad
AUDITORÍA ART. 17 RD994/99 Sistemas de Información Nivel Alto ESTRATEGIA DE SEGURIDAD
Barcelona, 21 de Septiembre de 2006
Justificación o Motivación de los Niveles de Seguridad y su aplicación
Artículo 3 - NIVELES DE SEGURIDAD
Las medidas se clasifican en tres niveles: BÁSICO, MEDIO, ALTO.
Los niveles se clasifican atendiendo a la naturaleza de la información tratada en relación con el mayor o menor necesidad para garantizar la confidencialidad y la integridad de la información.
El Reglamento de Medidas de Seguridad
AUDITORÍA ART. 17 RD994/99 Sistemas de Información Nivel Alto ESTRATEGIA DE SEGURIDAD
Barcelona, 21 de Septiembre de 2006
Artículo 4 - LA APLICACIÓN DE LOS NIVELES DE SEGURIDAD
NIVEL BÁSICO:
Todos los ficheros que contengan datos de carácter personal, deberán adoptar las medidas de seguridad calificadas como Nivel Básico.
Las medidas de seguridad de nivel básico, reguladas en los artículos 8 a 14 del Reglamento, consisten fundamentalmente en la elaboración e implantación del llamado documento de seguridad, así como en la adopción de medidas referentes al control de acceso e identificación de los distintos usuarios que accedan al sistema.
El Reglamento de Medidas de Seguridad
NIVEL BÁSICO
AUDITORÍA ART. 17 RD994/99 Sistemas de Información Nivel Alto ESTRATEGIA DE SEGURIDAD
Barcelona, 21 de Septiembre de 2006
Artículo 8.2 – Documento de seguridad
a.-Ámbito de aplicación del documento con especificación detallada de los recursos protegidos.
b.-Medidas, normas, procedimientos, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en este Reglamento.
c.-Funciones y obligaciones del personal.
d.-Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan.
e.-Procedimiento de notificación, gestión y respuesta ante las incidencias.
f.-Los procedimientos de realización de copias de respaldo y de recuperación de los datos.
El Reglamento de Medidas de Seguridad
NIVEL BÁSICO
AUDITORÍA ART. 17 RD994/99 Sistemas de Información Nivel Alto ESTRATEGIA DE SEGURIDAD
Barcelona, 21 de Septiembre de 2006
Artículo 9.- Funciones y obligaciones del personal.
Las funciones y obligaciones de cada una de las personas con
acceso a los datos de carácter personal y a los sistemas de
información estarán claramente definidas y documentadas, de
acuerdo con lo previsto en el artículo 8.2.c)
El Reglamento de Medidas de Seguridad
NIVEL BÁSICO
AUDITORÍA ART. 17 RD994/99 Sistemas de Información Nivel Alto ESTRATEGIA DE SEGURIDAD
Barcelona, 21 de Septiembre de 2006
Artículo 10.- Registro de incidencias.
El procedimiento de notificación y gestión de incidencias
contendrá necesariamente un registro en el que se haga constar el
tipo de incidencia, el momento en que se ha producido, la persona
que realiza la notificación, a quién se le comunica y los efectos que
se hubieran derivado de la misma.
El Reglamento de Medidas de Seguridad
NIVEL BÁSICO
AUDITORÍA ART. 17 RD994/99 Sistemas de Información Nivel Alto ESTRATEGIA DE SEGURIDAD
Barcelona, 21 de Septiembre de 2006
Artículo 11.- Identificación y autenticación. 1.- El responsable del fichero se encargará de que exista una
relación actualizada de usuarios que tengan acceso autorizado al sistema de información y de establecer procedimientos de identificación y autenticación para dicho acceso.
2.- Cuando el mecanismo de autenticación se base en la existencia
de contraseñas existirá un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad.
3.- Las contraseñas se cambiarán con la periodicidad que se
determine en el documento de seguridad y mientras estén vigentes se almacenarán de forma ininteligible.
El Reglamento de Medidas de Seguridad
NIVEL BÁSICO
AUDITORÍA ART. 17 RD994/99 Sistemas de Información Nivel Alto ESTRATEGIA DE SEGURIDAD
Barcelona, 21 de Septiembre de 2006
Artículo 12.- Control de acceso.
Los usuarios tendrán acceso autorizado únicamente a aquellos datos y recursos que precisen para el desarrollo de sus funciones.
Exclusivamente el personal autorizado para ello en el documento de seguridad podrá conceder, alterar o anular el acceso autorizado sobre los datos.
El Reglamento de Medidas de Seguridad
NIVEL BÁSICO
AUDITORÍA ART. 17 RD994/99 Sistemas de Información Nivel Alto ESTRATEGIA DE SEGURIDAD
Barcelona, 21 de Septiembre de 2006
Artículo 13.- Gestión de soportes.
La salida de soportes informáticos que contengan datos de carácter personal, fuera de los locales en los que esté ubicado el fichero, únicamente podrá ser autorizada, por el responsable del fichero.
Artículo 14. - Copias de respaldo y recuperación.
Deberán realizarse copias de respaldo, al menos semanalmente, salvo que en dicho periodo no se hubiera producido ninguna actualización de los datos.
NIVEL BÁSICO
El Reglamento de Medidas de Seguridad
AUDITORÍA ART. 17 RD994/99 Sistemas de Información Nivel Alto ESTRATEGIA DE SEGURIDAD
Barcelona, 21 de Septiembre de 2006
Ficheros que contengan datos relativos: (Artículo 4.2)
• Comisión de Infracciones administrativas o penales
• Haciendas Públicas: únicamente los de titularidad pública que tengan potestad en materia tributaria.
Los ficheros que contengan datos relativos a obligaciones tributarias de terceros que formen parte de ficheros de titularidad privada, no se encuentran incluidos entre los definidos en el artículo 4.2 del Real Decreto 994/1999, de 11 de junio.
NIVEL MEDIO
El Reglamento de Medidas de Seguridad
AUDITORÍA ART. 17 RD994/99 Sistemas de Información Nivel Alto ESTRATEGIA DE SEGURIDAD
Barcelona, 21 de Septiembre de 2006
Se garantizará el principio de uso y tratamiento de estos datos para una finalidad determinada y no incompatible:
- Artículo 16. Responsable de seguridad
- Articulo 17. Auditoría
- Artículo 18. Identificación y autenticación.
- Artículo 19. Control de acceso físico.
- Artículo 20. Gestión de soportes.
NIVEL MEDIO
El Reglamento de Medidas de Seguridad
AUDITORÍA ART. 17 RD994/99 Sistemas de Información Nivel Alto ESTRATEGIA DE SEGURIDAD
Barcelona, 21 de Septiembre de 2006
- Artículo 21. Registro de Incidencias (procedimiento de recuperación de datos y autorización por escrito para la ejecución de procedimientos de recuperación de datos)
- Artículo 22. Pruebas con datos reales (requieren todas las medidas de seguridad implantadas)
NIVEL MEDIO
El Reglamento de Medidas de Seguridad
AUDITORÍA ART. 17 RD994/99 Sistemas de Información Nivel Alto ESTRATEGIA DE SEGURIDAD
Barcelona, 21 de Septiembre de 2006
Medidas que garanticen una seguridad apropiada, habida cuenta de la naturaleza sensible de estos datos y los riesgos potenciales (en datos de salud, la propia protección de los pacientes)
• Los ficheros que contengan datos de ideología, creencias, religión, origen racial, salud y vida sexual.
• Fines policiales sin consentimiento (EUROPOL)
NIVEL ALTO
El Reglamento de Medidas de Seguridad
AUDITORÍA ART. 17 RD994/99 Sistemas de Información Nivel Alto ESTRATEGIA DE SEGURIDAD
Barcelona, 21 de Septiembre de 2006
• Datos médicos: relativos a la salud de una persona (afecta a los datos relacionados con salud, suelen incluir origen racial, vida sexual y según la especialidad ideologías y religión.)
La LOPD en el artículo 9.3 hace una referencia a las medidas requeridas en el tratamiento de datos relativos a la salud.
Si bien es cierto que en algunos supuestos, el coste de su implantación puede ser elevado, se entiende que es imprescindible exigirlas atendiendo a la especial naturaleza de los datos y al reforzamiento de la protección que los mismos requieren.
NIVEL ALTO
El Reglamento de Medidas de Seguridad
AUDITORÍA ART. 17 RD994/99 Sistemas de Información Nivel Alto ESTRATEGIA DE SEGURIDAD
Barcelona, 21 de Septiembre de 2006
• La Recomendación R(97)5 del Comité de Ministros del
Consejo de Europa dentro del ámbito del Convenio 108
para la protección de las personas, exige en el
tratamiento de datos de salud unas medidas de seguridad
en la misma línea del Reglamento.
NIVEL ALTO
El Reglamento de Medidas de Seguridad
AUDITORÍA ART. 17 RD994/99 Sistemas de Información Nivel Alto ESTRATEGIA DE SEGURIDAD
Barcelona, 21 de Septiembre de 2006
• Artículo 23. Distribución de soportes. Gestión de
soportes cifrados de datos.
• Artículo 26. Cifrado en las comunicaciones.
Garantizar que la información no sea inteligible ni
manipulada por terceros
El Reglamento de Medidas de Seguridad
AUDITORÍA ART. 17 RD994/99 Sistemas de Información Nivel Alto ESTRATEGIA DE SEGURIDAD
Barcelona, 21 de Septiembre de 2006
Objetivo Auditoría
• CUMPLIR obligación legal/evitar sanción art. 44.3h)
• GARANTIZAR un nivel seguridad adecuado con el objetivo de añadir valor y calidad a los procesos de la organización
AUDITORÍA ART. 17 RD994/99 Sistemas de Información Nivel Alto ESTRATEGIA DE SEGURIDAD
Barcelona, 21 de Septiembre de 2006
Artículo 17 Auditoría externa/interna.
Concepto de auditoría informática (concepto ampliamente utilizado en el sector de las tecnologías aunque no está formalmente definido.) El auditor externo o interno que no actúe con profesionalidad, independencia y ética, incurrirá en responsabilidad.
Persona independiente designada por el responsable de los ficheros.
El Reglamento de Medidas de Seguridad
AUDITORÍA ART. 17 RD994/99 Sistemas de Información Nivel Alto ESTRATEGIA DE SEGURIDAD
Barcelona, 21 de Septiembre de 2006
Art. 17 Auditoría
• Los sistemas de información y las
instalaciones se deberán someter a una
auditoría externa o interna, que verifique el
cumplimiento del Reglamento de seguridad
• El informe de auditoría deberá dictaminar
sobre la adecuación de las medidas y
controles, identificar deficiencias
• Proponer medidas correctoras o
complementarias
AUDITORÍA ART. 17 RD994/99 Sistemas de Información Nivel Alto ESTRATEGIA DE SEGURIDAD
Barcelona, 21 de Septiembre de 2006
• El informe de auditoría deberá incluir datos, hechos y observaciones y recomendaciones propuestas
• Los informes serán analizados por el responsable de seguridad competente, que elevará las conclusiones al responsable de los ficheros
Art. 17 Auditoría
AUDITORÍA ART. 17 RD994/99 Sistemas de Información Nivel Alto ESTRATEGIA DE SEGURIDAD
Barcelona, 21 de Septiembre de 2006
MARCO REGULADORCódigos Tipo
Considerando (61) de la Directiva 95/46/CE
Los Estados miembros y la Comisión, deben alentar a los sectores profesionales para que elaboren códigos de conducta a fin de facilitar la aplicación de la Directiva.
Artículo 27 de la Directiva 95/46/CE
- La elaboración de códigos de conducta deben contribuir a la correcta aplicación de las disposiciones nacionales adoptadas en aplicación de la Directiva.
- Pueden someterse a examen de las Autoridades de Control.
- Deben desarrollarse en función de las particularidades de cada sector habida cuenta del carácter específico del tratamiento de datos efectuadas en determinados sectores.
AUDITORÍA ART. 17 RD994/99 Sistemas de Información Nivel Alto ESTRATEGIA DE SEGURIDAD
Barcelona, 21 de Septiembre de 2006
Artículo 32 de la Ley Orgánica 15/1999
¿Quién puede promover o formular Códigos Tipo o de Conducta?
- Asociaciones profesionales
- Organizaciones donde se agrupen representantes de responsables de tratamiento:
• Acuerdos sectoriales• Decisiones de empresa• Convenios administrativos
MARCO REGULADORCódigos Tipo
AUDITORÍA ART. 17 RD994/99 Sistemas de Información Nivel Alto ESTRATEGIA DE SEGURIDAD
Barcelona, 21 de Septiembre de 2006
Se podrán formular Códigos Tipo que establezcan:
- Condiciones de organización: • reglas operacionales• estándares técnicos
- Régimen de funcionamiento
- Procedimientos aplicables
- Normas de seguridad: • entorno• programas• equipos
MARCO REGULADOR Códigos Tipo (Art. 32 LOPD)
AUDITORÍA ART. 17 RD994/99 Sistemas de Información Nivel Alto ESTRATEGIA DE SEGURIDAD
Barcelona, 21 de Septiembre de 2006
(...)
- Obligaciones implicados.
- Uso de los datos personales.
- Garantía para el ejercicio de los derechos de las personas con pleno respeto a los principios y disposiciones de la Ley y normas de desarrollo
MARCO REGULADOR Códigos Tipo (Art. 32 LOPD)
AUDITORÍA ART. 17 RD994/99 Sistemas de Información Nivel Alto ESTRATEGIA DE SEGURIDAD
Barcelona, 21 de Septiembre de 2006
(...)
– Los Códigos Tipo tendrán el carácter de códigos deontológicos o de buena práctica.
– Deben ser depositados para su inscripción en el Registro General de Protección de Datos RGPD (artículo 39 LOPD)
– El RGPD podrá denegar la inscripción cuando considere que no se ajusta a las disposiciones legales y reglamentarias. En este caso se requiere a los solicitantes para que efectúen las correcciones oportunas.
MARCO REGULADOR Códigos Tipo
AUDITORÍA ART. 17 RD994/99 Sistemas de Información Nivel Alto ESTRATEGIA DE SEGURIDAD
Barcelona, 21 de Septiembre de 2006
Artículo 9 del Real Decreto 1332/1994
- Los particulares podrán obtener copias de los códigos tipos depositados e inscritos.
- En caso de incumplimiento de las normas contenidas en el Código Tipo se estará a lo dispuesto, en los acuerdos o decisiones que los formulen.
En la página web de la AEPD https://www.agpd.es se puede obtener copia completa de los Códigos Tipo depositados e inscrito en el RGPD.
MARCO REGULADOR Códigos Tipo
AUDITORÍA ART. 17 RD994/99 Sistemas de Información Nivel Alto ESTRATEGIA DE SEGURIDAD
Barcelona, 21 de Septiembre de 2006
Artículo 18:
- Promueve la elaboración de códigos de conducta sobre los servicios de la sociedad de información
- Adaptar los diversos preceptos de la Ley a las características específicas de cada sector
- Las AAPP impulsarán, a través de la coordinación y el asesoramiento, la elaboración y aplicación de códigos de conducta
MARCO REGULADOR Códigos de Conducta
Ley 34/2002 de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSI). (Modificada por la Ley 59/2003 de Firma Electrónica):
AUDITORÍA ART. 17 RD994/99 Sistemas de Información Nivel Alto ESTRATEGIA DE SEGURIDAD
Barcelona, 21 de Septiembre de 2006
Código Europeo de Conducta respecto del Uso de Datos Personales en el Marketing Directo
Dictamen 3/2003 del Grupo del Artículo 29 WP77 (Adoptado el 13 de junio de 2002)
- La propuesta del Código se ajusta a la Directiva
- El Código debe proporcionar suficiente valor añadido
- Incluye definiciones de términos utilizados en marketing directo
- Detalla situaciones posibles en la recogida de los datos
- Trata aspectos específicos como envío publicitarios, divulgación de listas, origen de los datos
- Medidas específicas sobre protección menores (participación en juegos, concursos, premios)
FEDERACIÓN EUROPEA DE MARKETING DIRECTO (FEDMA)
Muchas Gracias
SI-0013/06