Seguridad y Alta Disponibilidad Legislación y normas sobre seguridad

Transcripción

1 Seguridad y Alta Disponibilidad Legislación y normas sobre seguridad Carlos Villarrubia Jiménez Escuela Superior de Informática Universidad de Castilla-La Mancha Contenidos Organismos relacionados con la seguridad informática Normas sobre gestión de seguridad de la información Legislación sobre los servicios de la sociedad de la información y correo electrónico Legislación sobre protección de Organismos relacionados con la seguridad informática Agencia Española de Protección de Datos: SANS Institute: Centros de respuesta a incidentes: CERT: FIRST: Centro Nacional de Inteligencia: Inteco: cert.inteco.es IRIS-CERT: Normas ISO sobre gestión de seguridad de la información ISO 27001:2005: Sistemas de Gestión de la Seguridad de la Información (SGSI). Requisitos ISO 27002:2005: Código de buenas prácticas para la gestión de la seguridad de la información Normas ISO sobre gestión de seguridad de la información ISO TR 13335:1996 Guía para la gestión de la seguridad de TI. Parte 1: Conceptos y modelos para la seguridad de TI Parte 2: Gestión y planificación de la seguridad de TI Parte 3: Técnicas para la gestión de la seguridad de TI ISO :Interconexión de sistemas abiertos Modelo de referencia básico. Parte 2: Arquitectura de seguridad

2 Legislación sobre los servicios de la sociedad de la información y correo electrónico Ley 34/2002, de Servicios de Sociedad de la Información y de Comercio Electrónico Identificación de la empresa Precios de los productos/servicios y totalidad de gastos Acuse de recibo en los pedidos Publicidad electrónica identificada con publicidad o publi y el emisor Legislación sobre protección de Contexto legislativo Concepto de dato de carácter personal Obligaciones Derechos de las personas Infracciones y sanciones Legislación vigente Constitución Española. Artículo 18.4: La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD) Real Decreto 1720/2007 por el que se aprueba el Reglamento de Desarrollo de la LOPD (RLOPD) 1.Curso Seguridad: Nombre y apellidos 2.Curso Seguridad: NIF 3.Curso Seguridad: Nombre, apellidos y huella dactilar 4.Curso Seguridad: Nombre, apellidos y nota del curso 5.Curso Seguridad: Dirección IP del cliente, página accedida y fecha 6.Multas de tráfico: Matrícula e importe de multa 6.Acceso al edificio: Nombre, apellidos, DNI y sexo 7.Acceso al edificio: Nombre, apellidos, DNI, sexo y raza 8.Nomina: Nombre, apellidos y salario 9.Recursos Humanos: Nombre, apellidos, salario, retención físcal y descuento por nº de hijos 10.Recursos Humanos: Nombre, apellidos, salario, retención fiscal, descuento por nº de hijos, descuento por grado de discapacidad y abono por afiliación sindical 11.Biblioteca: DNI y libros prestados 12.Accidentes: DNI, accidente sufrido y fecha 13.Clientes bancarios: DNI y saldo en la cuenta 14.Asociaciones: Nombre asociación, dirección, nombre y apellidos del representante 15.Directorio: Nombre, apellidos, correo electrónico y extensión telefónica Concepto de dato de carácter personal Es toda información de cualquier clase (numérica, alfabética, gráfica, fotográfica, acústica, etc.) concerniente a personas físicas identificadas o identificables Ejemplos: Nombre, domicilio postal y/o electrónico, DNI, teléfono, nota de una examen, fotografía, nº de zapato, etc

3 Tipos de según la seguridad requerida Nivel Básico Nivel Básico: Todos los personales que no sean de nivel medio o alto. Nivel por defecto Nivel Medio: Datos más sensibles Nivel Alto: Datos especialmente protegidos Identificativos, características personales, circunstancias sociales, académicos y profesionales, empleo y puestos de trabajo, información comercial, económica, etc... Nivel Medio Nivel Alto Infracciones administrativas o penales, ficheros de solvencia patrimonial y crédito, administración tributaria, prestación de servicios financieros, seguridad social, mutuas de accidentes y los que permiten evaluar la personalidad Salud Vida sexual Origen racial Ideología y creencias Afiliación sindical Religión Violencia de género Datos recabados para fines policiales sin consentimiento Excepciones Un fichero tiene el nivel del dato con mayor nivel excepto: Datos de nivel alto con la única finalidad de realizar una transferencia dineraria a las entidades de las que los afectados sean miembros Datos de salud relativos al grado de discapacidad con motivo de cumplimiento de deberes públicos 1.Curso Seguridad: Nombre y apellidos 2.Curso Seguridad: NIF 3.Curso Seguridad: Nombre, apellidos y huella dactilar 4.Curso Seguridad: Nombre, apellidos y nota del curso 5.Curso Seguridad: Dirección IP del cliente, página accedida y fecha 6.Multas de tráfico: Matrícula e importe de multa 6.Acceso al edificio: Nombre, apellidos, DNI y sexo 7.Acceso al edificio: Nombre, apellidos, DNI, sexo y raza 8.Nomina: Nombre, apellidos y salario 9.Recursos Humanos: Nombre, apellidos, salario, retención físcal y descuento por nº de hijos 10.Recursos Humanos: Nombre, apellidos, salario, retención fiscal, descuento por nº de hijos, descuento por grado de discapacidad y abono por afiliación sindical 11.Biblioteca: DNI y libros prestados 12.Accidentes: DNI, accidente sufrido y fecha 13.Clientes bancarios: DNI y saldo en la cuenta 14.Asociaciones: Nombre asociación, dirección, nombre y apellidos del representante 15.Directorio: Nombre, apellidos, correo electrónico y extensión telefónica

4 Obligaciones básicas Con carácter previo a la recogida de los Durante el tratamiento de los Una vez finalizado el tratamiento Obligaciones antes de la recogida Obligaciones durante el tratamiento de los Creación y notificación de ficheros Calidad de los Calidad de los Deber de secreto Información al interesado Cesión de los Consentimiento del interesado Acceso a por cuenta de terceros Modificación de ficheros Transferencias internacionales de Seguridad de los Seguridad de los 1 Documento de seguridad 1.Documento de seguridad 2.Responsable de seguridad 3.Auditoría 4.Personal 5.Identificación y autentificación 6.Control y registro de accesos 7.Gestión y distribución de soportes y documentos 8.Copias de respaldo y recuperación 9.Registro de incidencias 10.Telecomunicaciones Normativa con el ámbito, medidas, normas y procedimientos Identifica a los responsables de seguridad Establece los controles periódicos de cumplimiento del documento de seguridad 2 Responsable de seguridad 3 Auditoría Encargado de coordinar y controlar las medidas de seguridad No es una delegación de responsabilidad del responsable del fichero Interna o externa al menos cada 2 años Informe de adecuación a las medidas, deficiencias identificadas y propone medidas correctoras Analizado por el responsable de seguridad A disposición de la AGPD

5 4 Personal 5 Identificación y autenticación Funciones y obligaciones de todo el personal con acceso a los Difusión entre el personal de las normas que les afecten y las consecuencias por incumplimiento Existencia de medidas de identificación y autenticación de usuarios Identificación unívoca a cada usuario Si se utilizan contraseñas existirá un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad Renovación mínima anual de contraseñas y almacenamiento cifrado 5 Identificación y autenticación 6 Control y registro de accesos Mecanismo que limite el nº de intentos reiterados de acceso no autorizado Cada usuario accede únicamente a los y recursos necesarios para el desarrollo de sus funciones Existe una relación actualizada de usuarios, perfiles y accesos autorizados Existen mecanismos para controlar los derechos con que se accede a los recursos Existen mecanismos que gestionen la concesión de permisos de acceso sólo por personal autorizado en el documento de seguridad 6 Control y registro de accesos 7 Gestión y distribución de soportes y documentos Control de acceso físico a los locales donde se encuentre los equipos Se registran los intentos de acceso y los accesos auotirzados El registro se conserva durante 2 años bajo control del responsable de seguridad que realiza un informe mensual Excepción: persona física como responsable y acceso unipersonal Identificación del tipo de información contenida Se mantiene un inventario Se almacenan con acceso restringido Se debe autorizar la salida de soportes y adoptar medidas de seguridad para evitar la sustracción, pérdida o acceso indebido Se adoptan medidas en caso de desecho de soportes 7 Gestión y distribución de soportes y documentos 8 Copias de respaldo y recuperación Registro de entrada y salida de soportes Sistema de etiquetado sólo comprensible para los usuarios autorizados Se cifran los en la distribución de soportes y en los dispositivos portátiles Debe existir un procedimiento de copias de respaldo y recuperación de El procedimiento garantiza la reconstrucción de los en el estado original Se realiza una copia de respaldo semanal Comprobación cada seis del sistema de copias de respaldo y recuperación Las pruebas no se realizarán con reales salvo con medidas de seguridad y se ha hecho una copia de respaldo previamente

6 8 Copias de respaldo y recuperación 9 Registro de incidencias Se debe registrar las incidencias Debe existir una copia de respaldo y de los procedimientos de recuperación en lugar diferente del que se encuentren los equipos Registro de realización de procedimiento de recuperación y persona que lo ejecuta, restaurados y grabados manualmente Autorización expresa de la ejecución de los procedimientos de recuperación de 10 Telecomunicaciones Obligaciones finalizado el tratamiento de los Cancelación y bloque de los La transmisión de a través de redes públicas o de redes inalámbricas debe ser cifrada Supresión de ficheros Derechos de las personas Infracciones y sanciones Impugnación de valoraciones Derecho de consulta al Registro General de Protección de Datos Derecho de indemnización Derechos ARCO: Acceso Rectificación Cancelación Oposición Leves: De 601 a Graves: De a Muy graves: De a Documentación Sitios web de los organismos indicados anteriormente La protección de personas versión 2.0. Soluciones en entornos Microsoft