SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN Política General de Seguridad aplicable al usuario final del SCS

Transcripción

1 SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN Política General de Seguridad aplicable al usuario final del SCS A través de las Políticas de Seguridad recogidas en el Documento de Seguridad se describen las medidas de seguridad contenidas en el RLOPD ue deben ser implantadas en los sistemas de información ue tratan datos de carácter personal. Las políticas de seguridad son de obligado cumplimiento para todos auellos usuarios, internos o externos, del Servicio Cántabro de Salud, ue accedan a datos de carácter personal. Este documento pretende resumir las medidas de aplicación al usuario final de los Sistemas de Información, recogidas en el documento de seguridad, con el fin de facilitar al mismo su conocimiento y ayudar así a su cumplimiento. Funciones y obligaciones de los usuarios finales de ficheros automatizados. Se consideran usuarios finales a todo personal interno o externo, con acceso directo o indirecto a datos de carácter personal responsabilidad del Servicio Cántabro de Salud. Cumplir con la Política General de Seguridad del Servicio Cántabro de Salud, las políticas y procedimientos de seguridad aplicables a las funciones y obligaciones ue le ha asignado la Dirección Gerencia de la cual depende. Confidencialidad y deber de secreto Se considera información confidencial al conjunto de todos los datos personales responsabilidad del Servicio Cántabro de Salud. Se debe proteger la información confidencial, y en especial auella información ue contenga datos de carácter personal, estableciendo medidas de control ue garanticen su confidencialidad, e impidan el acceso no autorizado a los datos de carácter personal, incluyendo la simple visualización. Se debe guardar la máxima reserva y no divulgar, ni utilizar directamente, ni a través de terceras personas o empresas, los datos, documentos, metodologías, claves, análisis, programas y demás información a la ue se pueda tener acceso durante su relación con el Servicio Cántabro de Salud. Se debe mantener en todo momento el secreto profesional respecto a la información confidencial con la ue se trata. Esta obligación persistirá por tiempo indefinido, aún después de finalizar sus relaciones profesionales con el Servicio Cántabro de Salud. Se debe llevar a cabo un tratamiento adecuado de la información, evitando cualuier manipulación ue pueda producir la modificación, alteración o Servicio Cántabro de Salud 1 / 6

2 destrucción de los datos almacenados, responsabilizándose de cualuier actuación contraria a la norma. Se debe reducir el uso de información confidencial del Servicio Cántabro de Salud a lo estrictamente necesario, adoptando las debidas precauciones y medidas para evitar el acceso a los mismos por cualuier persona no autorizada y destruir la información confidencial una vez ue haya dejado de ser útil para el objeto con el ue se recabó. Los soportes físicos y documentos ue contengan información confidencial deben ser almacenados en un lugar seguro, con los controles de acceso físico adecuados para evitar posibles accesos no autorizados a la información contenida en los mismos. Queda prohibida la transferencia de información confidencial a terceros, por cualuier medio (en soporte papel, magnético, electrónico, etc.), excepto a las personas o entidades debidamente autorizadas. Notificación y registro de las incidencias de seguridad Se considera incidencia de seguridad cualuier incidencia o anomalía ue pueda ser detectada en relación con la seguridad en los sistemas de información: pérdida de listados, deterioros de soportes, accesos de terceros no autorizados, Es obligación de todo el personal ue accede a los sistemas de información, comunicar cualuier incidencia La comunicación de la incidencia se llevará a cabo mediante los canales establecidos por el Servicio Cántabro de Salud y de forma inmediata a su conocimiento. Con el fin de garantizar el cumplimiento de esta obligación, la Organización establecerá un régimen de incidencias LOPD ue será publicado y distribuido entre los trabajadores de la Organización para ue tengan pleno conocimiento de las posibles incidencias ue se pueden materializar. Cada Gerencia del Servicio Cántabro de Salud se compromete a mantener un Registro de Incidencias de Seguridad en el ue se almacene y revise toda información relativa a las posibles incidencias y en concreto, auella ue puedan afectar a la seguridad de los datos de carácter personal. Identificador de usuario y contraseña de acceso al sistema de información automatizado. Todos los usuarios con acceso a un sistema de información automatizado dispondrán de una autorización de acceso, compuesta por identificador de usuario y mecanismo de autenticación basado en contraseña, o bien basada en certificado electrónico. Cada empleado con acceso a los sistemas de información del Servicio Cántabro de Salud tiene asignado un identificador de usuario y una contraseña o bien un certificado electrónico, de cuyo uso se responsabiliza personalmente. Servicio Cántabro de Salud 2 / 6

3 El identificador de usuario y su contraseña son de carácter personal e intransferible. El usuario tiene la obligación de cambiar la contraseña si se sospecha ue un tercero la puede conocer. La contraseña deberá ser cambiada al menos cada 12 meses, sin perjuicio de los periodos de caducidad específicos ue se asigne a cada sistema de información automatizado, debiendo el empleado asignar una nueva. La longitud mínima de las contraseñas deberá ser de seis (6) dígitos recomendándose ue estén constituidas por una combinación de caracteres alfabéticos y numéricos y se omita la referencia a cosas o conceptos sencillos de adivinar. Los usuarios no deben almacenar contraseñas, identificadores de usuario o cualuier otra información de acceso, en sistemas portátiles o remotos. Si se utilizan generadores de contraseñas dinámicos u otros mecanismos de control de acceso, éstos no deben almacenarse en el mismo lugar ue los ordenadores portátiles. Ningún usuario recibirá un identificador de acceso a recursos informáticos o aplicaciones hasta ue no acepte formalmente el documento de Política General de Seguridad. Los usuarios tendrán acceso autorizado exclusivamente a auellos datos y recursos ue precisen para el desarrollo de sus funciones, conforme a los criterios establecidos por cada Responsable de Autorización de Accesos. Seguridad física y control de acceso físico a áreas de acceso restringido. Se consideran áreas sensibles de acceso restringido, auellas instalaciones donde se ubiuen soportes, euipos o archivos documentales ue contengan datos de carácter personal. En concreto se considerarán áreas sensibles, la ubicación del archivo documental central así como los centros de procesamiento de datos CPD- y las áreas de ubicación de euipos informáticos o archivos departamentales aislados ue almacenen ficheros no automatizados con datos de carácter personal de nivel medio y alto. Únicamente el personal autorizado tendrá acceso a las áreas sensibles. Se definirán normativas y procedimientos para controlar el acceso del personal interno y externo a dichas áreas. Todo el material confidencial se almacenará con las debidas medidas de seguridad, incluso cuando se localicen en áreas seguras y estando disponibles solamente para el personal autorizado. Es preciso evaluar y prevenir riesgos potenciales de incendios, catástrofes naturales y otro tipo de riesgos. El análisis de la seguridad física no uedará limitado al emplazamiento de los sistemas de información, sino ue tendrá en cuenta los peligros del entorno. Gestión de ficheros temporales, copias de trabajo de documentos y tratamientos de datos fuera de las instalaciones del fichero. Servicio Cántabro de Salud 3 / 6

4 Auellos archivos ue se creen exclusivamente para la realización de trabajos temporales o auxiliares, mediante las extracciones totales o parciales de bases de datos con datos de carácter personal, serán denominados ficheros temporales, con independencia de ue la información se encuentre almacenada en un soporte informático o en un documento en papel (copia del original). El usuario autorizado para la generación de ficheros temporales, debe cumplir las siguientes medidas de seguridad: - Deberán someterse a las mismas medidas de seguridad ue los ficheros corporativos, en virtud de la tipología de datos ue almacenen. - Si se reproducen ficheros temporales, ya sean de nivel básico, medio o alto, en soportes extraíbles o en documentos en papel, y se prevé un periodo de conservación del soporte superior a tres (3) meses, el usuario ue ha generado el soporte extraíble deberá etiuetar los soportes/documentos y mantener un inventario actualizado de los mismos. - El usuario deberá garantizar la confidencialidad, disponibilidad e integridad de los ficheros temporales ue genere, respondiendo de su guarda y custodia frente al Servicio Cántabro de Salud. - En relación a los ficheros temporales almacenados en sistemas automatizados, se deberá garantizar la realización de las copias de respaldo de los soportes extraíbles con datos de carácter personal, cuando la información ue maneja no se encuentre actualizada en el sistema de información central del Servicio Cántabro de Salud. Por tanto, el usuario evitará siempre ue sea posible almacenar información en la unidad local de su puesto de sobremesa. La información del usuario será almacenada en su carpeta personal de red, así como en la carpeta de red de su departamento/área. - Todo fichero temporal o copia de trabajo debe ser borrado o destruido una vez haya dejado de ser necesario para los fines ue motivaron su creación. La generación de copias o reproducciones de documentos automatizados de nivel alto (historias clínicas) únicamente podrá ser realizada bajo el control del personal autorizado por el Responsable de Seguridad del fichero no automatizado competente, y aplicando a dichos documentos las medidas de seguridad de nivel alto, en los mismos términos ue a la documentación original. La información sensible no debe salir de los locales del Servicio Cántabro de Salud, evitando siempre ue sea posible su almacenamiento en el disco duro del soporte. En el supuesto de ser necesario trasladar información sensible fuera de las oficinas, cuyo traslado haya sido aprobado por el Responsable de Autorización de Accesos, se protegerá durante su transporte con las herramientas de cifrado aprobadas por la Organización. La información sensible reproducida en documentos mantendrán las medidas necesarias para garantizar la confidencialidad e integridad de la información aún cuando hayan abandonado los locales de ubicación habitual de la información. Únicamente el personal autorizado podrá trabajar con datos personales extraídos de los sistemas de información del fichero, fuera de las instalaciones del Servicio Cántabro de Salud. La necesidad de autorización para el tratamiento Servicio Cántabro de Salud 4 / 6

5 de datos fuera de las instalaciones del fichero aplica a la información almacenada en soportes informáticos y documentos papel. El personal capacitado para trabajar fuera de las instalaciones del fichero, será autorizado por el Responsable de Autorización de Accesos del fichero automatizado competente o en su caso para el tratamiento de documentos en formato papel, por el Responsable de Seguridad del fichero no automatizado al ue haga referencia el tratamiento de datos. El personal autorizado para realizar trabajos con datos de carácter personal fuera de las instalaciones del fichero, será responsable de la guardia y custodia del euipo asignado y la información ue contiene. Debe garantizar la confidencialidad, integridad y disponibilidad de la información ue almacene en soportes extraíbles o en documentos en papel. Uso apropiado de los recursos físicos y lógicos ue tratan datos de carácter personal Los recursos de los sistemas de información y sistemas de archivo están disponibles exclusivamente para el cumplimiento de las funciones y obligaciones de cada puesto de trabajo y propósito de la operativa para la ue fueron diseñados e implantados. Únicamente el personal autorizado podrá enviar por correo electrónico soportes o cualuier otro método de tratamiento automatizado de datos, de información con datos de nivel alto. El personal capacitado para el envío de soportes físicos, documentos o comunicaciones telemáticas ue contengan información catalogada con nivel alto de seguridad será autorizado por los Responsables del Servicio designados como Responsables de Autorización de Accesos (o el Responsable de Seguridad de los ficheros no automatizados). El envío telemático de datos de nivel alto ya sea como fichero adjunto o dentro del texto de correo electrónico debe transmitirse cifrado. La conexión remota a los sistemas de información del Servicio Cántabro de Salud reuiere una aprobación específica por parte del Responsable de Seguridad. Cada euipo corporativo del Servicio Cántabro de Salud (servidor, puesto de sobremesa, portátil o cualuier otro terminal informático) estará asignado a un usuario o grupo de usuarios. Cada usuario será responsable de garantizar la guardia y custodia del mismo, impidiendo el acceso no autorizado al terminal. El entorno de trabajo debe mantener las condiciones ue satisfagan continuamente las normas de seguridad física y no permitan deterioros. El personal debe apagar el euipo de sobremesa ue utilice para el desarrollo de sus funciones, al final de la jornada laboral o ante una ausencia prolongada. Podrá mantenerse encendido siempre ue el puesto se mantenga con un bloueo de pantalla mediante contraseña. Servicio Cántabro de Salud 5 / 6

6 Los usuarios finales deberán observar, además las siguientes normas: Todos los euipos o puestos de trabajo han sido asignados a un usuario o servicio concreto. Estos usuarios son los responsables de garantizar ue la información mostrada por estos euipos no sea visible por personas no autorizadas. En caso de impresoras, el usuario responsable del euipo debe asegurarse de ue no uedan documentos impresos en la bandeja de salida ue contengan datos protegidos. Si las impresoras son compartidas con otros usuarios no autorizados para acceder a los datos del fichero, los responsables de cada puesto deberán retirar los documentos conforme vayan siendo impresos. El usuario responsable de un euipo, cuando abandone éste, por espacio superior a cinco minutos, deberá dejarlo en un estado ue impida el acceso a los datos protegidos mediante el bloueo del terminal basado en contraseña. Se prohíbe la instalación de aplicaciones por el usuario final, responsable del euipo o la modificación significativa en la configuración del sistema operativo ue no hayan sido autorizadas por el Servicio Cántabro de Salud. Servicio Cántabro de Salud 6 / 6