Organismos relacionados con la seguridad informática



Documentos relacionados
Seguridad y Alta Disponibilidad Legislación y normas sobre seguridad

PRINCIPALES RESPONSABILIDADES LEGALES DE LAS ENTIDADES SIN ÁNIMO DE LUCRO

Master en marketing digital y ecommerce

REGLAMENTO DE DESARROLLO LOPD V: Agencia Vasca de Protección de Datos Registro de Ficheros y NNTT

Dossier i-card Access y LOPD

L.O.P.D. C/Rafael Sánchez 61. Real de San Vicente Toledo. Teléfono: Fax:

Medidas de seguridad ficheros automatizados

REGLAMENTO DE MEDIDAS DE SEGURIDAD DE LOS FICHEROS AUTOMATIZADOS QUE CONTENGAN DATOS DE CARÁCTER PERSONAL CAPÍTULO I.- DISPOSICIONES GENERALES

L.O.P.D. Ley Orgánica de Protección de Datos

IMPLICACIONES JURÍDICAS Y TÉCNICAS DE LA NORMATIVA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL

ESTATUTO DE AUDITORIA LOPD PARA EL AYUNTAMIENTO DE ZARZADILLA DE PAR

METAS PLAN. Ciclo de desarrollo mantenimie nto y mejora ACT CHECK CONOCIMIENTO. ISO ISO (Procedimientos) CERTIFICACIÓN

RESOLUCION DEL ARARTEKO, de 16 de noviembre de 2012, por la que se crean nuevos ficheros de datos en la institución del Ararteko.

Facilitar el cumplimiento de la LOPD

5.1 REGISTRO DE FICHEROS Análisis de los datos tratados Inscripción de los ficheros... 5

Jornadas de concienciación sobre Protección de Datos. Jornadas de Concienciación en materia de protección de datos de carácter personal

Servicio para colectivos Legislación A quien se dirige? Glosario Obligaciones Infracciones y sanciones Protección de Datos Servicio de Asesoramiento

Las medidas de seguridad en el Reglamento RD-1720/2007. El cumplimiento de la seguridad en la LOPD, paso a paso

REGLAMENTO DE MEDIDAS DE SEGURIDAD DE LOS FICHEROS AUTOMATIZADOS QUE CONTENGAN DATOS DE CARÁCTER PERSONAL

POLITICA DE PRIVACIDAD DE PARKHOMESPAIN.COM

Obligaciones en materia de Protección de Datos 1

. Ation Micro Software para la implantación de la LOPD

LEY ORGÁNICA DE PROTECCIÓN DE DATOS (LOPD)

GUIÓN DE LAS ACCIONES BÁSICAS PARA EL CUMPLIMIENTO DE LA LOPD

Es una ley relativa al desarrollo de los derechos fundamentales y con el objeto de garantizar y proteger de las libertades públicas de las personas

Nº. 7. Abril El Boletín de los Expertos en Cumplimiento Normativo. La auditoría de protección de datos, la gran desconocida

PROTECCION DE DATOS Y ENSAYOS CLINICOS

AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS MODELO DE DOCUMENTO DE SEGURIDAD

ACUERDO DE ACCESO A DATOS DE CARÁCTER PERSONAL POR CUENTA DE TERCEROS ENTRE XXXXX Y XXXXXXX REUNIDOS

LAS MEDIDAS DE SEGURIDAD

empresa, con el fin de recabar la informaciónnecesaria para poder identificar los ficheros existentes.

LA LOPD: GUIA PRÁCTICA PARA IMPLANTAR EN EL COMERCIO. Oviedo, 04 de febrero de 2015

Perito Judicial en LOPD (Ley Orgánica de Protección de Datos) ENSEÑANZA A DISTANCIA

LOPD. Al lado de las empresas en la implantación de la LOPD.

ANEXO II. Los datos facilitados no serán incorporados a sistemas o soportes distintos de los del responsable del fichero.

Ayuntamiento de Villamiel de Toledo

de la LOPD y del RDLOPD Cómo cumplir con la Ley sin perder operatividad y eficacia

Servicios de adaptación al marco legal vigente

Análisis de la legislación sobre protección de datos personales

Información sobre la Ley Orgánica de Protección de Datos (LOPD)

PRINCIPALES RESPONSABILIDADES LEGALES DE LAS ENTIDADES SIN ÁNIMO DE LUCRO PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL. Isabela Crespo

nia, al lado de las empresas en la implantación de la LOPD.

AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS MODELO DE DOCUMENTO DE SEGURIDAD

TALLER DE PROTECCIÓN DE DATOS: Aplicación práctica de la LOPD para PYMES. Palencia, 14 de febrero de 2008

En el artículo del mes pasado,

LOPD EN LA EMPRESA. Qué tratamientos de datos están incluidos dentro de la LOPD?

Guía rápida de la Protección de Datos Personales en España

ANEXO REUNIDOS.., C.P.., en., y CIF, con poderes. representación otorgados mediante escritura pública autorizada ante Notario D.

DOCUMENTO DE SEGURIDAD

EDICTO DEL AYUNTAMIENTO DE HIGUERUELAS SOBRE CREACIÓN DE FICHEROS PARA LA INSCRIPCIÓN EN LA AGENCIA DE PROTECCIÓN DE DATOS (AGPD).

JAÉN PROTECCIÓN DE DATOS S.L.U. LIMPIEZAS Y PULIMENTOS ARANDA

Política de privacidad y protección de datos de At biotech

DOCUMENTO INTERNO DE POLÍTICAS DE SEGURIDAD. Fecha: 01 DE MARZO DE 2016

COMO ADAPTARSE A L.O.P.D.

Tratamientos de datos prohibidos por Ley Orgánica de Protección de Datos

PRINCIPALES RESPONSABILIDADES LEGALES DE LAS ENTIDADES SIN ÁNIMO DE LUCRO

LEY DE PROTECCIÓN DE DATOS

LOPD EN L A E M P R E S A

Gabinete Jurídico. Informe 0183/2009

INFORME MODIFICACIÓN DE LA LOPD

FEDERACIÓN EXTREMEÑA DE LUCHA Y DA

ORDENANZA REGULADORA DE CREACIÓN, MODIFICACIÓN Y SUPRESIÓN DE FICHEROS DE CARÁCTER PERSONAL.

DE FORMACIÓN CONTINUA BONIFICADA EXPEDIDA POR EL INSTITUTO EUROPEO DE ESTUDIOS EMPRESARIALES

Impactos Legales en Sistemas de Información Protección de Datos Personales Habeas Data

Todos los derechos están reservados.

REGULACION DE LOS FICHEROS AUTOMATIZADOS DE DATOS DE CARÁCTER PERSONAL DE LA UNIVERSIDAD POLITÉCNICA DE VALENCIA

APROBACIÓN DEL NUEVO REGLAMENTO DE DESARROLLO DE LA LEY ORGANICA DE PROTECCIÓN DE DATOS

PRINCIPALES RESPONSABILIDADES LEGALES DE LAS ENTIDADES SIN ÁNIMO DE LUCRO PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL. Isabela Crespo

LEY DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL CONTRATO DE PRESTACIÓN DE SERVICIOS

POLÍTICA DE SEGURIDAD

GUíAde Seguridad de Datos

MEMORANDO CIRCULAR No CARLOS IVÁN VILLEGAS Presidente POLÍTICA DE TRATAMIENTO DE DATOS PERSONALES

IV. Administración Local

DOSSIER INFORMATIVO. A & F MANAGERS.

Aviso Legal, Política de Privacidad y Protección de Datos, para incluir en las páginas Web.

PLIEGO DE PRESCRIPCIONES TÉCNICAS DEL CONTRATO DE SERVICIO DE TRADUCCIÓN E INTERPRETACIÓN TELEFÓNICA PARA EL CUERPO DE LA POLICÍA MUNICIPAL DE MADRID

Seguridad en el manejo de la información asociada a las muestras (Ficheros automatizados) Granada 06/11/2012

GESTIÓN DE LA DOCUMENTACIÓN

ADAPTACIÓN LOPD EMPRESAS NIVEL ALTO

Seguridad Informática.

Servicios de Adaptación a la LOPD, LSSICe y Seguridad de la Información

Introducción a la Ley Orgánica de Protección de Datos

RICARDO DELGADO Teléfono: (+34)

Datos de identificación de conformidad con la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico.

ARCHIVO GENERAL Marzo 2012

BOLETÍN OFICIAL DEL ESTADO MINISTERIO DE DEFENSA

DOCUMENTO DE SEGURIDAD EMPRESA DE EJEMPLO SL

Instrucciones obtención autorización permisos de acceso y cumplimentación de los formularios

Real Decreto, 1720/2007, de 21 de diciembre

Estándares y Normas de Seguridad

CLÁUSULA 1. OBJETO DEL CONTRATO

SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN Política General de Seguridad aplicable al usuario final del SCS

Pinceladas: Ley Orgánica de Protección de Datos

PROTECCION DE DATOS Y ADMINISTRACIÓN PÚBLICA

No obstante lo que antecede, a modo de resumen, a continuación se señalan los aspectos más relevantes del referido Real Decreto (en adelante, RD).

El supuesto analizado constituye una cesión o comunicación de datos de carácter personal.

COLEGIO PROFESIONAL DE PROTÉSICOS DENTALES DE EXTREMADURA

EXPONEN: PACTOS: EDUTEDIS (AUTORIDAD DE REGISTRO): RESPONSABLE DE LOS DATOS PUNTO DE VERIFICACIÓN PRESENCIAL/ENCARGADO DE TRATAMIENTO

2.- DESCRIPCIÓN DE LOS TRABAJOS A REALIZAR

Boletín Oficial de la Provincia de Valladolid

Transcripción:

Seguridad y Alta Disponibilidad Legislación y normas sobre seguridad Carlos Villarrubia Jiménez Escuela Superior de Informática Universidad de Castilla-La Mancha Contenidos Organismos relacionados con la seguridad informática Normas sobre gestión de seguridad de la información Legislación sobre los servicios de la sociedad de la información y correo electrónico Legislación sobre protección de datos http://www.esi.uclm.es 2 Organismos relacionados con la seguridad informática Agencia Española de Protección de Datos: www.agpd.es SANS Institute: www.sans.org Centros de respuesta a incidentes: CERT: www.cert.org FIRST: www.first.org Centro Nacional de Inteligencia: www.ccn-cert.cni.es Inteco: cert.inteco.es IRIS-CERT: www.rediris.es/cert

Normas ISO sobre gestión de seguridad de la información ISO 27001:2005: Sistemas de Gestión de la Seguridad de la Información (SGSI). Requisitos ISO 27002:2005: Código de buenas prácticas para la gestión de la seguridad de la información Normas ISO sobre gestión de seguridad de la información ISO TR 13335:1996 Guía para la gestión de la seguridad de TI. Parte 1: Conceptos y modelos para la seguridad de TI Parte 2: Gestión y planificación de la seguridad de TI Parte 3: Técnicas para la gestión de la seguridad de TI ISO 7498-2:Interconexión de sistemas abiertos Modelo de referencia básico. Parte 2: Arquitectura de seguridad Legislación sobre los servicios de la sociedad de la información y correo electrónico Ley 34/2002, de Servicios de Sociedad de la Información y de Comercio Electrónico Identificación de la empresa Precios de los productos/servicios y totalidad de gastos Acuse de recibo en los pedidos Publicidad electrónica identificada con publicidad o publi y el emisor

Legislación sobre protección de datos Contexto legislativo Concepto de dato de carácter personal Obligaciones Derechos de las personas Infracciones y sanciones Legislación vigente Constitución Española. Artículo 18.4: La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD) Real Decreto 1720/2007 por el que se aprueba el Reglamento de Desarrollo de la LOPD (RLOPD)

Ejemplos de ficheros con datos 1.Curso Seguridad: Nombre y apellidos 2.Curso Seguridad: NIF 3.Curso Seguridad: Nombre, apellidos y huella dactilar 4.Curso Seguridad: Nombre, apellidos y nota del curso 5.Curso Seguridad: Dirección IP del cliente, página accedida y fecha 6.Multas de tráfico: Matrícula e importe de multa Ejemplos de ficheros con datos 6.Acceso al edificio: Nombre, apellidos, DNI y sexo 7.Acceso al edificio: Nombre, apellidos, DNI, sexo y raza 8.Nomina: Nombre, apellidos y salario 9.Recursos Humanos: Nombre, apellidos, salario, retención físcal y descuento por nº de hijos 10.Recursos Humanos: Nombre, apellidos, salario, retención fiscal, descuento por nº de hijos, descuento por grado de discapacidad y abono por afiliación sindical Ejemplos de ficheros con datos 11.Biblioteca: DNI y libros prestados 12.Accidentes: DNI, accidente sufrido y fecha 13.Clientes bancarios: DNI y saldo en la cuenta 14.Asociaciones: Nombre asociación, dirección, nombre y apellidos del representante 15.Directorio: Nombre, apellidos, correo electrónico y extensión telefónica

Concepto de dato de carácter personal Es toda información de cualquier clase (numérica, alfabética, gráfica, fotográfica, acústica, etc.) concerniente a personas físicas identificadas o identificables Ejemplos: Nombre, domicilio postal y/o electrónico, DNI, teléfono, nota de una examen, fotografía, nº de zapato, etc Tipos de datos según la seguridad requerida Nivel Básico: Todos los datos personales que no sean de nivel medio o alto. Nivel por defecto Nivel Medio: Datos más sensibles Nivel Alto: Datos especialmente protegidos Nivel Básico Identificativos, características personales, circunstancias sociales, académicos y profesionales, empleo y puestos de trabajo, información comercial, económica, etc...

Nivel Medio Infracciones administrativas o penales, ficheros de solvencia patrimonial y crédito, administración tributaria, prestación de servicios financieros, seguridad social, mutuas de accidentes y los que permiten evaluar la personalidad Nivel Alto Salud Vida sexual Origen racial Ideología y creencias Afiliación sindical Religión Violencia de género Datos recabados para fines policiales sin consentimiento Excepciones Un fichero tiene el nivel del dato con mayor nivel excepto: Datos de nivel alto con la única finalidad de realizar una transferencia dineraria a las entidades de las que los afectados sean miembros Datos de salud relativos al grado de discapacidad con motivo de cumplimiento de deberes públicos

Ejemplos de ficheros con datos 1.Curso Seguridad: Nombre y apellidos 2.Curso Seguridad: NIF 3.Curso Seguridad: Nombre, apellidos y huella dactilar 4.Curso Seguridad: Nombre, apellidos y nota del curso 5.Curso Seguridad: Dirección IP del cliente, página accedida y fecha 6.Multas de tráfico: Matrícula e importe de multa Ejemplos de ficheros con datos 6.Acceso al edificio: Nombre, apellidos, DNI y sexo 7.Acceso al edificio: Nombre, apellidos, DNI, sexo y raza 8.Nomina: Nombre, apellidos y salario 9.Recursos Humanos: Nombre, apellidos, salario, retención físcal y descuento por nº de hijos 10.Recursos Humanos: Nombre, apellidos, salario, retención fiscal, descuento por nº de hijos, descuento por grado de discapacidad y abono por afiliación sindical Ejemplos de ficheros con datos 11.Biblioteca: DNI y libros prestados 12.Accidentes: DNI, accidente sufrido y fecha 13.Clientes bancarios: DNI y saldo en la cuenta 14.Asociaciones: Nombre asociación, dirección, nombre y apellidos del representante 15.Directorio: Nombre, apellidos, correo electrónico y extensión telefónica

Obligaciones básicas Con carácter previo a la recogida de los datos Durante el tratamiento de los datos Una vez finalizado el tratamiento Obligaciones antes de la recogida Creación y notificación de ficheros Calidad de los datos Información al interesado Consentimiento del interesado

Obligaciones durante el tratamiento de los datos Calidad de los datos Deber de secreto Cesión de los datos Acceso a datos por cuenta de terceros Modificación de ficheros Transferencias internacionales de datos Seguridad de los datos Seguridad de los datos 1.Documento de seguridad 2.Responsable de seguridad 3.Auditoría 4.Personal 5.Identificación y autentificación 6.Control y registro de accesos 7.Gestión y distribución de soportes y documentos 8.Copias de respaldo y recuperación 9.Registro de incidencias 10.Telecomunicaciones 1 Documento de seguridad Normativa con el ámbito, medidas, normas y procedimientos Nivel medio: Identifica a los responsables de seguridad Establece los controles periódicos de cumplimiento del documento de seguridad

2 Responsable de seguridad Nivel medio: Encargado de coordinar y controlar las medidas de seguridad No es una delegación de responsabilidad del responsable del fichero 3 Auditoría Nivel medio: Interna o externa al menos cada 2 años Informe de adecuación a las medidas, deficiencias identificadas y propone medidas correctoras Analizado por el responsable de seguridad A disposición de la AGPD 4 Personal Funciones y obligaciones de todo el personal con acceso a los datos Difusión entre el personal de las normas que les afecten y las consecuencias por incumplimiento

5 Identificación y autenticación Existencia de medidas de identificación y autenticación de usuarios Identificación unívoca a cada usuario Si se utilizan contraseñas existirá un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad Renovación mínima anual de contraseñas y almacenamiento cifrado 5 Identificación y autenticación Nivel medio: Mecanismo que limite el nº de intentos reiterados de acceso no autorizado 6 Control y registro de accesos Cada usuario accede únicamente a los datos y recursos necesarios para el desarrollo de sus funciones Existe una relación actualizada de usuarios, perfiles y accesos autorizados Existen mecanismos para controlar los derechos con que se accede a los recursos Existen mecanismos que gestionen la concesión de permisos de acceso sólo por personal autorizado en el documento de seguridad

6 Control y registro de accesos Nivel medio: Control de acceso físico a los locales donde se encuentre los equipos Nivel alto: Se registran los intentos de acceso y los accesos auotirzados El registro se conserva durante 2 años bajo control del responsable de seguridad que realiza un informe mensual Excepción: persona física como responsable y acceso unipersonal 7 Gestión y distribución de soportes y documentos Identificación del tipo de información contenida Se mantiene un inventario Se almacenan con acceso restringido Se debe autorizar la salida de soportes y adoptar medidas de seguridad para evitar la sustracción, pérdida o acceso indebido Se adoptan medidas en caso de desecho de soportes 7 Gestión y distribución de soportes y documentos Nivel medio: Registro de entrada y salida de soportes Nivel alto: Sistema de etiquetado sólo comprensible para los usuarios autorizados Se cifran los datos en la distribución de soportes y en los dispositivos portátiles

8 Copias de respaldo y recuperación Debe existir un procedimiento de copias de respaldo y recuperación de datos El procedimiento garantiza la reconstrucción de los datos en el estado original Se realiza una copia de respaldo semanal Comprobación cada seis del sistema de copias de respaldo y recuperación Las pruebas no se realizarán con datos reales salvo con medidas de seguridad y se ha hecho una copia de respaldo previamente 8 Copias de respaldo y recuperación Nivel alto: Debe existir una copia de respaldo y de los procedimientos de recuperación en lugar diferente del que se encuentren los equipos 9 Registro de incidencias Se debe registrar las incidencias Nivel medio: Registro de realización de procedimiento de recuperación y persona que lo ejecuta, datos restaurados y grabados manualmente Autorización expresa de la ejecución de los procedimientos de recuperación de datos

10 Telecomunicaciones Nivel alto: La transmisión de datos a través de redes públicas o de redes inalámbricas debe ser cifrada Obligaciones finalizado el tratamiento de los datos Cancelación y bloque de los datos Supresión de ficheros Derechos de las personas Impugnación de valoraciones Derecho de consulta al Registro General de Protección de Datos Derecho de indemnización Derechos ARCO: Acceso Rectificación Cancelación Oposición

Infracciones y sanciones Leves: De 601 a 60.000 Graves: De 60.001 a 300.000 Muy graves: De 300.001 a 600.000 Documentación Sitios web de los organismos indicados anteriormente La protección de datos personas versión 2.0. Soluciones en entornos Microsoft

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback