Auditoría ART. 17 RD994/99 Sistemas de Información Nivel Alto ESTRATEGIA DE SEGURIDAD

Barcelona, 21 de Septiembre de 2006

Auditoría ART. 17 RD994/99Sistemas de Información

Nivel AltoESTRATEGIA DE SEGURIDAD

Mar Martínez

AUDITORÍA ART. 17 RD994/99 Sistemas de Información Nivel Alto ESTRATEGIA DE SEGURIDAD


Agenda

Objetivos

Principios Generales

Reglamento de Seguridad

Auditoría

Factores de riesgo



Ámbito

TTodos los sistemas de información e instalaciones de odos los sistemas de información e instalaciones de

tratamiento de datostratamiento de datos que contengan ficheros de nivel medio y alto tendrán que someterse a una auditoría tendrán que someterse a una auditoría

interna o externainterna o externa, que verifique el cumplimiento de Reglamento de Seguridad, de los procedimientos e instrucciones vigentes en materias de seguridad de datos, al menos, cada dos años.



Marco Jurídico

LOPDLOPD

Derecho de Información tratamiento datos personales

Derecho del ciudadano acceso, rectificación, cancelación y oposición

Principio de Finalidad

Principio de Seguridad (RD 994/99)

Creación de Ficheros de Datos Personales e Inscripción



Requisitos Generales

Cumplimiento principios protección datos e implantación de las medidas de cumplimiento del marco jurídico

Adecuación de cesiones

Proyecto de disposición de carácter general y notificación Registro de Ficheros (Declaración de ficheros)

Nombramiento formal de responsable de seguridad (en ningún caso esta designación supone una delegación de responsabilidades que corresponde a responsable del fichero)

Identificación de encargados de tratamiento y firma de cláusulas contractuales

Requisitos JurídicosRequisitos Jurídicos



Medidas de Seguridad Jurídicas y Organizativas

Funciones y obligaciones del personal definidas en

función de sus competencias en relación con el

acceso, el archivo y la conservación de la

documentación . Procedimiento que garantice que el

personal conoce sus obligaciones y las

consecuencias en caso de incumplimiento (Código

Buenas Prácticas)



El Reglamento de Medidas de Seguridad

• Convenio 108 del Consejo de Europa

• Directiva 95(46)

• LOPD

Todos estos textos legales citan obligaciones sobre seguridad pero

ningún texto especifica las medidas de seguridad que deben

cumplir los tratamientos y ficheros que contengan datos

personales excepto el RD 994/99



Real Decreto 994/1999, de 11 de junio, por el

que se aprueba el Reglamento de medidas

seguridad de los ficheros automatizados que

contengan datos de carácter personal.

BOE Nº 151 (Viernes 25 de junio de 1999)




Obliga a implantar unas medidas que preserven la información personal para que únicamente pueda ser tratada con las siguientes garantías:

evitar su alteración o borrado

evitar su divulgación no autorizada




• Principio de finalidad: los datos de una

organización recogidos y tratados para una

finalidad determinada no podrán utilizarse para

fines diferentes e incompatibles

• Principio de conservación: los soportes que

contengan datos personales deben ser

conservados con garantías

• Deber de secreto




Justificación o Motivación de los Niveles de Seguridad y su aplicación

Artículo 3 - NIVELES DE SEGURIDAD

Las medidas se clasifican en tres niveles: BÁSICO, MEDIO, ALTO.

Los niveles se clasifican atendiendo a la naturaleza de la información tratada en relación con el mayor o menor necesidad para garantizar la confidencialidad y la integridad de la información.




Artículo 4 - LA APLICACIÓN DE LOS NIVELES DE SEGURIDAD

NIVEL BÁSICO:

Todos los ficheros que contengan datos de carácter personal, deberán adoptar las medidas de seguridad calificadas como Nivel Básico.

Las medidas de seguridad de nivel básico, reguladas en los artículos 8 a 14 del Reglamento, consisten fundamentalmente en la elaboración e implantación del llamado documento de seguridad, así como en la adopción de medidas referentes al control de acceso e identificación de los distintos usuarios que accedan al sistema.


NIVEL BÁSICO



Artículo 8.2 – Documento de seguridad

a.-Ámbito de aplicación del documento con especificación detallada de los recursos protegidos.

b.-Medidas, normas, procedimientos, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en este Reglamento.

c.-Funciones y obligaciones del personal.

d.-Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan.

e.-Procedimiento de notificación, gestión y respuesta ante las incidencias.

f.-Los procedimientos de realización de copias de respaldo y de recuperación de los datos.


NIVEL BÁSICO



Artículo 9.- Funciones y obligaciones del personal.

Las funciones y obligaciones de cada una de las personas con

acceso a los datos de carácter personal y a los sistemas de

información estarán claramente definidas y documentadas, de

acuerdo con lo previsto en el artículo 8.2.c)


NIVEL BÁSICO



Artículo 10.- Registro de incidencias.

El procedimiento de notificación y gestión de incidencias

contendrá necesariamente un registro en el que se haga constar el

tipo de incidencia, el momento en que se ha producido, la persona

que realiza la notificación, a quién se le comunica y los efectos que

se hubieran derivado de la misma.


NIVEL BÁSICO



Artículo 11.- Identificación y autenticación. 1.- El responsable del fichero se encargará de que exista una

relación actualizada de usuarios que tengan acceso autorizado al sistema de información y de establecer procedimientos de identificación y autenticación para dicho acceso.

2.- Cuando el mecanismo de autenticación se base en la existencia

de contraseñas existirá un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad.

3.- Las contraseñas se cambiarán con la periodicidad que se

determine en el documento de seguridad y mientras estén vigentes se almacenarán de forma ininteligible.


NIVEL BÁSICO



Artículo 12.- Control de acceso.

Los usuarios tendrán acceso autorizado únicamente a aquellos datos y recursos que precisen para el desarrollo de sus funciones.

Exclusivamente el personal autorizado para ello en el documento de seguridad podrá conceder, alterar o anular el acceso autorizado sobre los datos.


NIVEL BÁSICO



Artículo 13.- Gestión de soportes.

La salida de soportes informáticos que contengan datos de carácter personal, fuera de los locales en los que esté ubicado el fichero, únicamente podrá ser autorizada, por el responsable del fichero.

Artículo 14. - Copias de respaldo y recuperación.

Deberán realizarse copias de respaldo, al menos semanalmente, salvo que en dicho periodo no se hubiera producido ninguna actualización de los datos.

NIVEL BÁSICO




Ficheros que contengan datos relativos: (Artículo 4.2)

• Comisión de Infracciones administrativas o penales

• Haciendas Públicas: únicamente los de titularidad pública que tengan potestad en materia tributaria.

Los ficheros que contengan datos relativos a obligaciones tributarias de terceros que formen parte de ficheros de titularidad privada, no se encuentran incluidos entre los definidos en el artículo 4.2 del Real Decreto 994/1999, de 11 de junio.

NIVEL MEDIO




Se garantizará el principio de uso y tratamiento de estos datos para una finalidad determinada y no incompatible:

- Artículo 16. Responsable de seguridad

- Articulo 17. Auditoría

- Artículo 18. Identificación y autenticación.

- Artículo 19. Control de acceso físico.

- Artículo 20. Gestión de soportes.

NIVEL MEDIO




- Artículo 21. Registro de Incidencias (procedimiento de recuperación de datos y autorización por escrito para la ejecución de procedimientos de recuperación de datos)

- Artículo 22. Pruebas con datos reales (requieren todas las medidas de seguridad implantadas)

NIVEL MEDIO




Medidas que garanticen una seguridad apropiada, habida cuenta de la naturaleza sensible de estos datos y los riesgos potenciales (en datos de salud, la propia protección de los pacientes)

• Los ficheros que contengan datos de ideología, creencias, religión, origen racial, salud y vida sexual.

• Fines policiales sin consentimiento (EUROPOL)

NIVEL ALTO




• Datos médicos: relativos a la salud de una persona (afecta a los datos relacionados con salud, suelen incluir origen racial, vida sexual y según la especialidad ideologías y religión.)

La LOPD en el artículo 9.3 hace una referencia a las medidas requeridas en el tratamiento de datos relativos a la salud.

Si bien es cierto que en algunos supuestos, el coste de su implantación puede ser elevado, se entiende que es imprescindible exigirlas atendiendo a la especial naturaleza de los datos y al reforzamiento de la protección que los mismos requieren.

NIVEL ALTO




• La Recomendación R(97)5 del Comité de Ministros del

Consejo de Europa dentro del ámbito del Convenio 108

para la protección de las personas, exige en el

tratamiento de datos de salud unas medidas de seguridad

en la misma línea del Reglamento.

NIVEL ALTO




• Artículo 23. Distribución de soportes. Gestión de

soportes cifrados de datos.

• Artículo 26. Cifrado en las comunicaciones.

Garantizar que la información no sea inteligible ni

manipulada por terceros




Objetivo Auditoría

• CUMPLIR obligación legal/evitar sanción art. 44.3h)

• GARANTIZAR un nivel seguridad adecuado con el objetivo de añadir valor y calidad a los procesos de la organización



Artículo 17 Auditoría externa/interna.

Concepto de auditoría informática (concepto ampliamente utilizado en el sector de las tecnologías aunque no está formalmente definido.) El auditor externo o interno que no actúe con profesionalidad, independencia y ética, incurrirá en responsabilidad.

Persona independiente designada por el responsable de los ficheros.




Art. 17 Auditoría

• Los sistemas de información y las

instalaciones se deberán someter a una

auditoría externa o interna, que verifique el

cumplimiento del Reglamento de seguridad

• El informe de auditoría deberá dictaminar

sobre la adecuación de las medidas y

controles, identificar deficiencias

• Proponer medidas correctoras o

complementarias



• El informe de auditoría deberá incluir datos, hechos y observaciones y recomendaciones propuestas

• Los informes serán analizados por el responsable de seguridad competente, que elevará las conclusiones al responsable de los ficheros

Art. 17 Auditoría



MARCO REGULADORCódigos Tipo

Considerando (61) de la Directiva 95/46/CE

Los Estados miembros y la Comisión, deben alentar a los sectores profesionales para que elaboren códigos de conducta a fin de facilitar la aplicación de la Directiva.

Artículo 27 de la Directiva 95/46/CE

- La elaboración de códigos de conducta deben contribuir a la correcta aplicación de las disposiciones nacionales adoptadas en aplicación de la Directiva.

- Pueden someterse a examen de las Autoridades de Control.

- Deben desarrollarse en función de las particularidades de cada sector habida cuenta del carácter específico del tratamiento de datos efectuadas en determinados sectores.



Artículo 32 de la Ley Orgánica 15/1999

¿Quién puede promover o formular Códigos Tipo o de Conducta?

- Asociaciones profesionales

- Organizaciones donde se agrupen representantes de responsables de tratamiento:

• Acuerdos sectoriales• Decisiones de empresa• Convenios administrativos

MARCO REGULADORCódigos Tipo



Se podrán formular Códigos Tipo que establezcan:

- Condiciones de organización: • reglas operacionales• estándares técnicos

- Régimen de funcionamiento

- Procedimientos aplicables

- Normas de seguridad: • entorno• programas• equipos

MARCO REGULADOR Códigos Tipo (Art. 32 LOPD)



(...)

- Obligaciones implicados.

- Uso de los datos personales.

- Garantía para el ejercicio de los derechos de las personas con pleno respeto a los principios y disposiciones de la Ley y normas de desarrollo

MARCO REGULADOR Códigos Tipo (Art. 32 LOPD)



(...)

– Los Códigos Tipo tendrán el carácter de códigos deontológicos o de buena práctica.

– Deben ser depositados para su inscripción en el Registro General de Protección de Datos RGPD (artículo 39 LOPD)

– El RGPD podrá denegar la inscripción cuando considere que no se ajusta a las disposiciones legales y reglamentarias. En este caso se requiere a los solicitantes para que efectúen las correcciones oportunas.

MARCO REGULADOR Códigos Tipo



Artículo 9 del Real Decreto 1332/1994

- Los particulares podrán obtener copias de los códigos tipos depositados e inscritos.

- En caso de incumplimiento de las normas contenidas en el Código Tipo se estará a lo dispuesto, en los acuerdos o decisiones que los formulen.

En la página web de la AEPD https://www.agpd.es se puede obtener copia completa de los Códigos Tipo depositados e inscrito en el RGPD.

MARCO REGULADOR Códigos Tipo



Artículo 18:

- Promueve la elaboración de códigos de conducta sobre los servicios de la sociedad de información

- Adaptar los diversos preceptos de la Ley a las características específicas de cada sector

- Las AAPP impulsarán, a través de la coordinación y el asesoramiento, la elaboración y aplicación de códigos de conducta

MARCO REGULADOR Códigos de Conducta

Ley 34/2002 de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSI). (Modificada por la Ley 59/2003 de Firma Electrónica):



Código Europeo de Conducta respecto del Uso de Datos Personales en el Marketing Directo

Dictamen 3/2003 del Grupo del Artículo 29 WP77 (Adoptado el 13 de junio de 2002)

- La propuesta del Código se ajusta a la Directiva

- El Código debe proporcionar suficiente valor añadido

- Incluye definiciones de términos utilizados en marketing directo

- Detalla situaciones posibles en la recogida de los datos

- Trata aspectos específicos como envío publicitarios, divulgación de listas, origen de los datos

- Medidas específicas sobre protección menores (participación en juegos, concursos, premios)

FEDERACIÓN EUROPEA DE MARKETING DIRECTO (FEDMA)

Muchas Gracias

SI-0013/06

Auditoría ART. 17 RD994/99 Sistemas de Información Nivel Alto ESTRATEGIA DE SEGURIDAD

Documents

Transcript of Auditoría ART. 17 RD994/99 Sistemas de Información Nivel Alto ESTRATEGIA DE SEGURIDAD